8 PROTECCIÓN DE LA INFORMACIÓN

Tamaño: px
Comenzar la demostración a partir de la página:

Download "8 PROTECCIÓN DE LA INFORMACIÓN"

Transcripción

1 8 PROTECCIÓN DE LA INFORMACIÓN 8.1 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Elementos clave Clasificación de datos Acceso al sistema Factores críticos de éxito Crímenes informáticos 8.2 SEGURIDAD LÓGICA Exposiciones de acceso lógico Métodos de acceso lógico Controles de acceso lógico Software de control de acceso Identificación y autentificación Temas de autorización Tablas de autorización Restricción y monitorización del acceso a las funciones que eludan la seguridad Convenciones sobre nombres para el control de acceso Controles sobre Virus 8.3 AUDITORÍA DE LA SEGURIDAD LÓGICA Auditoría de la gestión de la seguridad Revisión de las políticas y procedimientos Políticas de seguridad de acceso lógico La Percepción de la Seguridad y el Entrenamiento formales Propiedad de los datos Autorizaciones documentadas Auditoría del acceso lógico Familiarización con el entorno de procesamiento de la información Documentación de las vías de acceso: Entrevistas al personal de sistemas Realizar un examen de los informes generados por el Software de Control de Acceso Prueba de las prácticas y procedimientos de seguridad Utilización de las tarjetas y llaves de terminales Identificación de terminal Códigos de usuario y Contraseñas Controles sobre los recursos de producción Registro y generación de un informe de violaciones de acceso al ordenador Seguimiento de las violaciones de acceso Controles de devolución de llamada Autorización de cambios a la red Identificación de métodos para eludir la seguridad y controles compensatorios al respecto Revisar los controles de acceso y la administración de contraseñas 121

2 8.4 CONTROLES SOBRE EL ACCESO FÍSICO Y EL ENTORNO Seguridad del acceso físico Exposiciones de acceso físico Controles de acceso físico Auditoría del acceso físico Seguridad del entorno Exposiciones del entorno Controles para exposiciones del entorno Auditoría de los controles del entorno Este tema presenta el conocimiento básico necesario para evaluar la seguridad lógica, del entorno y de la infraestructura de TI de una organización. Este conocimiento permite determinar si la seguridad establecida satisface las necesidades que tiene una organización para salvaguardar la información de la utilización, revelado, y modificación sin autorización y de la pérdida o daño accidental o maliciosa. Hay cuatro áreas de preocupación en cuanto a la evaluación de la protección de la información: 1. Evaluar el diseño, implementación y control de los controles de acceso lógico para asegurar la integridad, confidencialidad y disponibilidad de la información. 2. Evaluar la seguridad de la infraestructura de redes para asegurar la integridad, confidencialidad, disponibilidad y la utilización autorizada de la red y la información transmitida. 3. Evaluar el diseño, implementación y el control de los controles del entorno para prevenir y/o minimizar pérdidas potenciales. 4. Evaluar el diseño, implementación y el control de los controles de acceso físico para asegurar que el nivel de protección de la información y las instalaciones es suficiente para alcanzar los objetivos de negocio de la organización. 8.1 GESTIÓN DE LA SEGURIDAD DE LA INFORMACION Elementos clave Para que la seguridad se implemente y mantenga con éxito, se deben establecer y comunicar claramente los elementos esenciales para la gestión de la seguridad de la información. Entre ellos se incluyen: Políticas y procedimientos- Debe comenzar con una política de organización general manifestando el claro compromiso de la alta dirección y dando directrices al respecto. Aspectos a contemplar en esta política son la importancia de la información para la organización, la necesidad de la seguridad, la importancia de definir los activos sensibles y críticos a proteger, y las responsabilidades. Una vez aprobada la política se deben desarrollar los estándares, controles, prácticas y procedimientos en cada sistema a introducir y mantener en el sistema de seguridad Organización Las responsabilidades de proteger cada activo y de llevar a cabo procesos específicos de seguridad deben estar claramente definidas. La política de seguridad debe dar una guía general de cómo asignar estas responsabilidades. Esto se puede suplantar, cuando sea necesario, con guías más detalladas para ubicaciones, sistemas o servicios específicos. Las responsabilidades a considerar por posición incluyen: 122

3 Dirección ejecutiva- tiene la responsabilidad global de los activos de información. Comité de seguridad las políticas y procedimientos de seguridad afectan a toda la organización, por tanto, deben tener el soporte de los usuarios finales, dirección ejecutiva, administración de la seguridad, personal de SI y asesoría legal. Por lo tanto se debe constituir un comité de seguridad con gerentes de diferentes niveles cuya tarea es la de discutir temas de seguridad y establecer las prácticas de seguridad. Propietarios de datos determinan los niveles de clasificación de los datos en cuanto a su criticidad y niveles de acceso. Son los responsables de dar el tipo de acceso a los datos bajo su responsabilidad. Propietarios de procesos son los responsables de la seguridad de los procesos bajo su responsabilidad en línea con la política de la organización Desarrolladores de TI Implementan la seguridad de la información Especialistas de seguridad Promueven y ayudan en el diseño, implementación, gestión y revisión de la política y procedimientos de seguridad de la organización. Usuarios Deben seguir los procedimientos establecidos en la política de seguridad de la organización que generalmente incluye: leer la política de seguridad mantener en secreto la identificación de usuario y la contraseña informar de las sospechas de violación de la seguridad mantener una buena seguridad física cerrando las puertas, dejando en lugar seguro las llaves de acceso, no revelando la clave de acceso de cerraduras electrónicas y preguntando a personas desconocidas. cumpliendo las leyes y regulaciones legales siguiendo las regulaciones de privacidad respecto a información confidencial (salud, legal, etc.) Auditores de SI Suministran un aseguramiento independiente a la gerencia de la adecuación y eficacia de los objetivos de seguridad de la información Clasificación de datos Los archivos informatizados, al igual que los documentos, tienen diversos grados de sensibilidad. Las clasificaciones del grado de sensibilidad deben ser simples, tales como alta, media y baja. Los gerentes de usuarios finales y el Administrador de Seguridad pueden utilizar esas clasificaciones para determinar quién puede estar en condiciones de acceder qué archivos. La clasificación de los datos reduce el riesgo y el costo de excederse en la protección de los recursos informáticos. La clasificación de datos es extremadamente importante para la identificación de quién debe tener acceso a datos y programas de producción y a los de prueba. Los datos de producción son los datos actuales o históricos reales. El acceso a estos datos o programas lo debe conceder su correspondiente propietario. Los datos y programas de prueba generalmente son los datos y programas a los que un Programador de Aplicaciones o un miembro del equipo de desarrollo de sistemas tiene acceso para escribir, corregir o mantener un programa o una aplicación en la que se esté trabajando. Los programadores de aplicaciones o los programadores de desarrollo de sistemas no deben tener acceso a los datos o programas de producción. Sus derechos de acceso se deben restringir solo al entorno de pruebas. De esta manera, la clasificación de datos como medida de control debe definir: 123

4 quién tiene derechos de acceso quién es el responsable de determinar los derechos de acceso y los niveles de acceso qué aprobaciones son necesarias para el acceso Acceso al sistema El acceso al sistema es la habilidad de hacer algo con un recurso de información. Por ejemplo, la habilidad para leer, crear, modificar o eliminar un fichero, ejecutar un programa o utilizar una conexión externa. El acceso al sistema es tanto físico como lógico. Los controles de acceso lógico proveen un medio técnico de controlar que información pueden utilizar los usuarios, los programas que pueden ejecutar y las modificaciones que pueden realizar. Dichos controles pueden ser parte del sistema operativo o incorporarse en los programas, los sistemas de base de datos, los dispositivos de control de red o las utilidades. Los controles de acceso físico restringen la entrada y la salida del personal, y a veces del equipamiento, de un área tal como un edificio, centro de datos o habitación conteniendo equipamiento de proceso de datos. Hay muchos tipos de controles de acceso físico tales como tarjetas de identificación, tarjetas de memoria, llaves y tabiques desde el suelo hasta el techo. El acceso al sistema se debe dar en base al principio de necesidad de saber para poder realizar una tarea. Esto significa que habrá que establecer criterios para decidir que tipo de acceso se da a los diferentes usuarios a los datos, programas y recursos específicos. Por ejemplo podría ser deseable dar acceso a todo el personal de una organización a cierta información, como un calendario de reuniones no confidenciales. Sin embargo que el programa que formatea y presenta este calendario solo fuese modificable por unos pocos, mientras que el acceso directo al sistema operativo sobre el que corre el programa sea restringido aún a un número menor. Generalmente el control del acceso se consigue a través de los mecanismos de seguridad que dan los siguientes cuatro niveles: redes, sistema operativo, bases de datos y aplicaciones Factores críticos de éxito La gestión de la seguridad de la información para ser eficaz requiere el compromiso y soporte de la alta dirección. Este compromiso se manifiesta aprobando y dando soporte a la concienciación y la formación formales en la seguridad. Esto incluye su propia formación. La política de seguridad y los procedimientos relacionados deben estar actualizados y reflejar que se utiliza una estrategia basada en riesgos para identificar los recursos críticos de información de tal manera que haya un entendimiento claro de los riesgos y las amenazas. El desarrollo de la política de seguridad de la información es responsabilidad de la alta dirección, delegando su implementación en los apropiados niveles de la dirección. Dicha política da el marco para diseñar y desarrollar los controles de acceso lógico. La política contribuye a la protección de los activos, siendo su objetivo el de proteger la información contra todo tipo de riesgos, accidentales o intencionales. La existencia y la promoción de una política de seguridad de la información es de capital importancia para la supervivencia y el desarrollo de una organización. La política debe asegurar la conformidad de los sistemas con las leyes y regulaciones y la integridad, confidencialidad y disponibilidad de los datos. 124

5 8.1.5 Crímenes Informáticos Los delincuentes pueden utilizar los sistemas informáticos para robar dinero, bienes, software o información de la empresa, p.e. un listado de clientes. También constituye un delito cuando se manipula el proceso de una aplicación o los datos para que se acepte información falsa o transacciones no autorizadas. También está el hecho para nada técnico de robar el ordenador. Pueden cometerse delitos informáticos sin que se substraiga nada. La mera visualización de información puede ofrecer suficiente información al delincuente para robar ideas o información confidencial. Los delitos informáticos con el fin de aprovecharse del ordenador y la información que contiene pueden ser perjudiciales para la reputación, la moral y la mismísima existencia de una organización. El resultado puede consistir en la pérdida de clientes, una situación embarazosa para la gerencia o el inicio de acciones legales contra la organización. Entre las amenazas para la organización se cuentan: Pérdidas financieras Pueden ser directas, por la pérdida de fondos electrónicos, o indirectos, a causa de los costos de corregir la exposición al riesgo. Repercusiones legales Existen numerosas leyes que protegen derechos a la intimidad y los derechos humanos que deben ser tenidas en cuenta por la organización en la etapa de desarrollo de las políticas y procedimientos de seguridad. Estas leyes pueden proteger la organización, pero también proteger de juicios al causante. Asimismo, el hecho de no contar con medidas correctas de seguridad puede exponer a la organización a juicios de los inversores o aseguradores si se produjera una pérdida significativa por violación de la seguridad. La mayoría de las empresas están bajo la supervisión de entes de control según el negocio que realizan y cuyas normas deben acatar. El Auditor de SI debe recurrir a asesores jurídicos cuando procede a hacer un examen de las cuestiones relacionadas con la seguridad informática. Pérdida de credibilidad o margen de competitividad Muchas organizaciones, en especial las empresas de servicios como los bancos, entidades de ahorro y préstamo o inversiones necesitan una alta credibilidad y confianza del público para mantener su competitividad o incluso seguir funcionando. Una violación a la seguridad puede dañar gravemente esa credibilidad, con la consiguiente pérdida de negocios y prestigio. Chantaje/espionaje industrial. Al lograr acceso a la información confidencial o los medios para efectuar un impacto adverso sobre las operaciones del ordenador, puede exigirse a la organización pagos o servicios bajo amenazas de aprovecharse de la brecha en la seguridad. Divulgación de información confidencial, sensible o embarazosa. Tal como se mencionó anteriormente, tales hechos pueden dañar la credibilidad de una organización y los medios que utiliza para realizar el negocio. También puede ocasionar que se presenten acciones legales o de índole administrativa contra la empresa. Sabotaje. En algunos casos no se busca una ganancia financiera, sino que simplemente mueve el deseo de realizar daño. Puede darse cuando el causante odia la organización o simplemente desea un reto contra el cual enfrentarse. 125

6 Normalmente, quienes violan el acceso lógico son las mismas personas que pueden aprovecharse de las exposiciones físicas, aunque las destrezas que se requieren para aprovecharse de las aquellas son de índole más técnica y compleja. Los tipos de causantes de dichas violaciones inluyenr: Piratas informáticos Los piratas informáticos por lo general intentan poner a prueba los límites de las restricciones de acceso para demostrar su capacidad para superar los obstáculos. A menudo no entran con el propósito de destrucción, aunque ese suele ser el resultado final. Empleados (autorizados y no autorizados) Personal de SI Son quienes tiene el acceso a la información más fácil debido a que son los que custodian la información. Además de los controles de acceso lógico, la buena segregación de funciones y supervisión ayudan a controlarlos. Usuarios finales Exempleados En particular, hay que tener cuidado con los que han dejado la organización en condiciones conflictivas. Terceros interesados o capacitados Competencia Potencias extranjeras Crimen organizado Piratas informáticos contratados por un tercero (Crackers) Personal a tiempo parcial o temporal Proveedores y Consultores Externos Legos, accidentalmente Quien comete una violación sin saberlo. 8.2 SEGURIDAD LÓGICA Los controles de acceso lógico son el método primario de gestionar y proteger los activos de información para reducir a un nivel aceptable el riesgo de una organización. Por ejemplo, el concepto de control de acceso lógico se relaciona con gestionar y controlar el acceso a los recursos de información que residan en sistemas tanto de ordenador central como basados en redes. Los auditores de SI tienen que entender la relación entre los controles de acceso lógico y las políticas y procedimientos de seguridad. Para hacer esto, los auditores de SI deben ser capaces de analizar y evaluar la eficacia de estos controles para conseguir los objetivos de seguridad de la información. Los controles de acceso lógico inadecuados incrementan el potencial de pérdidas de una organización debida a exposiciones a riesgos. Las exposiciones a riesgos que existen debido a debilidades de control de acceso lógico accidental o intencional incluyen: Exposiciones de acceso lógico Un ataque de negación de servicio interrumpe o deniega completamente el servicio a usuarios legitimados, redes sistemas y otros recursos. La intención de estos ataques normalmente es de naturaleza maliciosa y suele requerir poca especialización porque las herramientas necesarias para perpetrar el ataque se pueden conseguir fácilmente. 126

7 Las exposiciones técnicas son la alteración, uso o destrucción de programas de producción y archivos de datos no autorizada (deliberada o no intencionada) a nivel de sistema operativo, red o aplicación. Existen muchos términos para estos tipos de exposición, entre los que se encuentran: Caballos de Troya Consiste en ocultar código con fines maliciosos dentro de un programa autorizado. Tal código oculto se ejecutará cuando se ejecute el programa autorizado. Un ejemplo clásico de Caballo de Troya es el programa de Cálculo de Sueldos que le quita una pequeña cantidad a cada liquidación de sueldos y los imputa a la cuenta del autor. Redondeo por defecto Consiste en retirar pequeñas sumas de dinero de una transacción o cuenta y enviar la cantidad a la cuenta del autor de la violación. Se denomina redondeo por defecto pues se redondean muy pequeñas sumas y se las transfiere a una cuenta no autorizada. Dado que tales sumas son muy pequeñas, es difícil que se descubran. Técnica de la rodaja o tajada Esta técnica es similar a la técnica del Redondeo por defecto, pero consiste en tomar una pequeña tajada de las sumas de las transacciones o cuentas. Virus Los virus informáticos son programas dolosos que pueden autoduplicarse y transmitirse de un ordenador a otro, sea al compartir disquetes o por la transmisión de la lógica por medio de líneas de telecomunicaciones o contacto directo con el código/máquina infectada. Un virus puede simplemente mostrar un mensaje gracioso en los terminales, o borrar peligrosamente o alterar los archivos informatizados, o llenar la memoria del ordenador con basura hasta el punto que el ordenador deje de funcionar. El peligro adicional es que un virus permanezca hibernando o en un estado aletargado hasta que determinado acontecimiento lo ponga en actividad, como una fecha (el lº de enero - Feliz Año Nuevo) o que se copie una cantidad de veces. Sin embargo, entretanto el virus se ha estado propagando en silencio. Gusanos Son programas destructivos que borran datos o utilizan grandes cantidades de recursos del ordenador o de comunicaciones pero no se duplican. Bombas lógicas Las bombas lógicas son similares a los virus, pero no se autoduplican. Puertas traseras Las puertas traseras son puntos de salida de un programa que permiten que se inserte lógica especial dentro en un programa autorizado, tal como interrupciones del programa para poder revisar los datos en el medio del procesamiento. Estos agujeros también permiten que se inserte lógica no autorizada. Ataque asíncrono En un ambiente de multiproceso los datos viajan a través de líneas de telecomunicaciones asíncronas (en una sola dirección por vez). Por ello, muchas transmisiones deben esperar que la línea esté libre y fluya en la dirección adecuada antes de que se transmita. Los datos que estén en espera son susceptibles a acceso no autorizado denominado ataques asíncronos. Esta es una exposición muy compleja, para evaluarla el Auditor de SI necesitará la ayuda del administrador de red y del analista de software. Fugas de datos 127

8 La fuga de datos consiste en la extracción de información de dentro del ordenador. Puede realizarse imprimiendo archivos en listados, o simplemente robar informes informatizados o cintas. Interceptación de líneas Esta técnica consiste en captar la información que se esté transmitiendo por medio de líneas de telecomunicaciones Apagado del ordenador Puede iniciarse el apagado del ordenador por conexiones directas (en línea) con terminales o microordenadores o indirectas (líneas de telemarcado) de terminales. A menudo para ello se requiere tener acceso a un código de usuario de alto nivel. No resulta tan difícil si los controles de acceso correctos no están implementados alrededor de los códigos de usuario y las conexiones de telecomunicaciones con el ordenador Métodos de acceso lógico Para realizar una evaluación eficaz de los controles de acceso lógico en una organización, los auditores necesitan obtener un entendimiento del entorno de TI. El propósito de esto es determinar en qué áreas desde un punto de vista de riesgo hay que poner el foco de la auditoría. Este entendimiento incluye revisar todos los niveles de seguridad asociados con la arquitectura de sistemas de información informatizados. Estos niveles son la red, la plataforma de sistema operativo, la base de datos y las aplicaciones El acceso lógico al ordenador puede hacerse por distintas vías. Cada una de ellas debe tener niveles adecuados de seguridad de acceso. Entre los métodos de acceso se incluyen: Consola del operador Estos terminales controlan la mayoría de las operaciones y funciones del ordenador. Deben estar ubicados en la sala del ordenador o en una instalación adecuadamente controlada de manera que solo se permita el acceso físico a la consola a los operadores del ordenador y al personal de soporte. Terminales en línea Este modo de acceso lógico es el más popular entre los usuarios. Generalmente requiere un código de usuario y una contraseña para tener acceso al ordenador. El acceso en línea permite el procesamiento de los datos en forma inmediata. El acceso en línea sirve para la carga de transacciones, consultas a archivos y la actualización de los archivos (agregar, cambiar, borrar). Dado que el acceso es inmediato, también los es iniciar la seguridad lógica respecto de este acceso. Este control se satisface mediante el uso de software de control de acceso. Procesamiento diferido Esta modalidad de acceso es indirecta ya que el acceso se realiza por medio del procesamiento de las transacciones (proceso por lotes). Generalmente consiste en acumular las transacciones de entrada y procesarlas después de determinado tiempo o de que se haya acumulado cierta cantidad de transacciones. La seguridad lógica se realiza determinando quienes pueden acumular transacciones (personal de carga de datos) y quienes pueden iniciar el procesamiento diferido (operadores del ordenador o el sistema automatizado de asignación de trabajos). Asimismo, se debe controlar cuidadosamente los procedimientos de autorización para manipular las transacciones acumuladas antes de procesar el lote. Puertos de llamada telefónica 128

9 La utilización de puertos de conexión por llamada telefónica consiste en conectar un terminal remoto a una línea telefónica y así tener acceso al ordenador al marcar el número de una línea telefónica especial. Normalmente se debe utilizar un módem como interfaz entre el terminal remoto y la línea telefónica a fin de codificar y decodificar las transmisiones. La seguridad lógica se realiza dando un medio para identificar a un usuario remoto para determinar la autorización de acceso que posee. Ello se puede hacer por medio de una línea de respuesta de llamada, utilización de un código de usuario y software de control de acceso, o haciendo participar a un operador del ordenador para que verifique la identidad de quien hace la llamada y luego realizar la conexión al ordenador. Redes de telecomunicaciones Las redes de telecomunicaciones enlazan los terminales de ordenador con un ordenador por medio de líneas de comunicaciones. Las líneas pueden ser privadas, es decir dedicadas a un solo usuario, o públicas, como las de los sistemas nacionales de teléfonos. La seguridad debe realizarse de la misma manera que en los terminales en línea Software de control de acceso Software de control de acceso El software de control de acceso, cada vez más, es un elemento crítico para asegurar la confidencialidad, integridad y disponibilidad de los recursos de información. El propósito del software de control de acceso (SCA) es el de prevenir el acceso y la modificación sin autorización a los datos sensibles y la utilización de funciones críticas. Para conseguir este nivel de control es necesario establecer controles de acceso en todos los niveles de la arquitectura de SI. Normalmente esto consiste en alguna forma de identificación y autentificación, autorización de acceso y registro e informe de las actividades de los usuarios Identificación y autentificación Es el proceso de probar la identidad de uno, donde la identificación es el medio por el cual el usuario da su identidad y la autentificación el medio por el cual el usuario da una información (algo que solamente el conoce o tiene) que garantiza que realmente es quien dice ser. La técnica más conocida es la de código de usuario y contraseña. Algunas de estas técnicas son las siguientes: Código de usuario y contraseña Esta identificación del usuario en dos etapas puede utilizarse para limitar el acceso a la información, transacciones informatizadas, programas y software de sistemas. El ordenador puede llevar una lista interna de códigos de usuario válidos y los correspondientes conjuntos de reglas de acceso para cada código de usuario. Las reglas de acceso identifican los recursos informatizados a los que puede acceder cada código de usuario. El formato de los códigos de usuario, por lo general, está estandarizado. La contraseña es lo que evita la utilización no autorizada, dado que, por lo general, la decide el usuario. El código de usuario da una identificación de la persona. Cada usuario recibe un código de usuario que puede ser identificado por el sistema. El código de usuario da la autenticación del usuario. La autenticación es un proceso en dos etapas en el cual el sistema informatizado primero verifica que el usuario 129

10 tiene un código de usuario válido y luego obliga al usuario a substanciar su validez personal por medio de una contraseña. Características de las contraseñas Las contraseñas deben ser fáciles de recordar para el usuario, pero difíciles de adivinar para quien intente violarlas. La primera asignación de la contraseña debe ser hecha por el Administrador de Seguridad. Cuando el usuario se conecte por primera vez, el sistema debe obligarle a cambiarla para mejorar su confidencialidad. A la tercera, perdió. Si se introduce una contraseña errónea un determinado número de veces, por lo general tres, se debe desactivar automáticamente el código de usuario por un tiempo apreciable. Si un código de usuario ha quedado desactivado por el olvido de la contraseña, el usuario debe notificarlo al Administrador de Seguridad. Este último sólo debe reactivar el código de usuario tras verificar la identificación del usuario, tal como lo hace un banco con la identificación de un cliente antes de dar información por teléfono, por ejemplo: apellido de soltera de la madre, devolver la llamada tras verificar el número interno del usuario, o solicitar verificación al supervisor del usuario. Las contraseñas deben estar encriptadas internamente. El encriptado es un medio de codificar la contraseña almacenada. Con ello se reduce el riesgo de que un individuo tenga acceso a las contraseñas de otras personas, si no la puede entender, tampoco la podrá utilizar. Las contraseñas no deben estar visibles de ninguna manera, ni en la pantalla del ordenador cuando se entra, ni en los informes informatizados, o escritas sobre un papel adherido al escritorio de una persona. Las contraseñas se deben cambiar periódicamente. En forma regular, por ejemplo cada 30 días, el usuario debe cambiar su contraseña. El mejor método es que el sistema obligue a cambiarla. El cambio voluntario es sólo eso, voluntario; así que es probable que no se haga. Reglas de sintaxis (formato) de la contraseña Debe tener por lo menos cuatro caracteres de longitud. Más corta es fácil de adivinar. Debe permitir la combinación de caracteres alfabéticos y numéricos. No se debe poder asociar con algo especial del usuario, como sucede con el primer nombre, nombre del cónyuge, de una mascota, etc. Cuando se cambie, el sistema no debe permitir que se vuelvan a utilizar contraseñas utilizadas previamente. Los códigos de usuario que no sean utilizados tras cierto tiempo se deben desactivar para evitar que sean mal utilizados. Esto lo puede hacer el sistema de forma automática o el Administrador de Seguridad de forma manual. El sistema debe desconectar automáticamente una sesión si no se produce actividad transcurrido un tiempo, por ejemplo, una hora. Con ello se reduce el riesgo de un uso inapropiado de una sesión desatendida porque el usuario se haya, por la causa que sea, y se haya olvidado de hacer la desconexión. Control de acceso de seguridad biométrico 130

11 Este control limita el acceso al ordenador a partir de características físicas del usuario, tales como una huella digital o el patrón de la retina. Para interpretar las características biométricas de la persona antes de permitir acceso al ordenador se utiliza un lector especializado. Este es un control de acceso muy eficaz ya que es difícil de eludir, pero puede que no sea eficiente debido al alto costo del hardware y software que se necesita Aspectos de la autorización del acceso El proceso de autorización del control de acceso normalmente requiere que el sistema pueda identificar y diferenciar a los usuarios. Por ejemplo, el control de acceso a menudo está basado en los privilegios mínimos necesarios, es decir dar a los usuarios solo los accesos que necesitan para realizar su trabajo. Las reglas de acceso (autorización) especifican quién puede acceder a qué. Las autorizaciones de acceso deben ser dadas en base a la necesidad de saber y a la necesidad de hacer y deben quedar documentadas estas necesidades. Tener acceso al ordenador no siempre implica que se tenga acceso sin restricciones. El acceso se puede dar a diferentes niveles. Cuando un auditor de SI revisa la accesibilidad al sistema, necesita saber que es lo que se puede hacer con el acceso y que es lo que está restringido. Por ejemplo, las restricciones de acceso a nivel de fichero normalmente incluyen las siguientes: solo lectura, consulta o copia solo escritura, creación, actualización o eliminación solo ejecución una combinación de las anteriores. El tipo de acceso menos peligroso es el de consulta o lectura, si la información no es sensible o confidencial. Ello es así porque el usuario no puede alterar o utilizar el fichero informático más allá de su mera visualización o impresión. A continuación se presenta una lista de los Archivos y funciones informatizadas a proteger con controles de acceso lógico más normales: Datos Software de aplicaciones de prueba de producción Servidores de nombres de dominio Utilidades Bibliotecas/directorios Contraseñas Archivos temporales en discos Biblioteca de soporte magnéticos Software de sistemas Software de control de acceso Bibliotecas de procedimientos del sistema Archivos de registros históricos Característica de eludir el procesamiento de etiqueta Salidas del sistema del operador Líneas de telecomunicaciones 131

12 Diccionario de datos Colas de spool Tablas de autorización Para dotar de seguridad a lo anterior, el mecanismo de control de acceso utiliza tablas de autorización de acceso también conocidas como listas de control de acceso (ACLs access control lists). Las listas de control de acceso son un registro de (1) usuarios humanos o no (incluyendo grupos, máquinas, procesos) a los que se ha dado acceso un determinado recurso del sistema y (2) los tipos de acceso que les ha sido permitido. Las listas de control de acceso varían en cuanto su capacidad y flexibilidad. Algunas solo permiten especificaciones para ciertos grupos preestablecidos (p.e. propietario, grupo, resto del mundo) mientras que otras más avanzadas tienen mucha más flexibilidad, tal como grupos definidos por los usuarios. También, algunas permiten denegar explícitamente el acceso a un usuario o grupo de usuarios Restricción y monitorización del acceso a las funciones que eludan la seguridad Por lo general, solamente los programadores de sistemas deben tener acceso a este tipo de funciones. Entre estas funciones están: Salto del proceso de etiqueta El salto hace que el ordenador omita leer la etiqueta del archivo. Dado que la mayoría de las reglas de control de acceso se basan en los nombres de archivos (etiquetas), con ello puede omitirse la seguridad del acceso. Salidas del sistema Estas utilidades especiales de software de sistemas, permiten que el usuario pueda realizar complejos mantenimientos del sistema. A menudo estas utilidades están fuera del sistema de seguridad del ordenador y de esa manera no están limitadas o no se informa de su uso. Códigos especiales de usuarios Normalmente el proveedor del ordenador suministra estos códigos de usuario con el ordenador. Estos códigos pueden determinarse fácilmente pues son los mismos para ordenadores del mismo tipo. Se debe proceder a su restricción cambiando sus contraseñas de inmediato una vez dada la conformidad a la instalación del ordenador Convenciones de nombres para el control del acceso Las capacidades de acceso las implementa la administración de seguridad mediante un conjunto de reglas de acceso que estipulan que usuarios (o grupos de usuarios) están autorizados a acceder a un recurso (tal como un conjunto o un fichero de datos) y a qué nivel (tal como lectura o actualización). El software de control de acceso aplica estas reglas siempre que un usuario intente acceder a un recurso protegido. Las convecciones de nombres de control de acceso son estructuras que se utilizan para gobernar el acceso de los usuarios al sistema y la autorización que se les da para acceder o utilizar los recursos del sistema, tales como ficheros, programas y terminales. Estas convenciones generales de nombres son un requerimiento en un entorno informatizado para establecer y mantener la responsabilidad individual y la segregación de funciones del acceso a los datos. Las convenciones de nombres 132

13 normalmente las establecen los propietarios de los datos o de las aplicaciones con la ayuda del Jefe de Seguridad. La necesidad de una sofisticada convención de nombres sobre los controles de acceso depende de la importancia y el nivel de seguridad que se necesite para asegurar que no se ha concedido un acceso no autorizado. Es importante establecer convenciones de nombres que a la vez promuevan la implementación de reglas de acceso eficientes y que simplifiquen la administración de la seguridad. Las convenciones de nombres para los recursos de sistemas (conjuntos de datos, volúmenes, programas, terminales, etc.) son un requisito importante para la administración eficiente de los controles de seguridad. Por ejemplo, las convenciones de nombres se pueden estructurar para que los recursos que comiencen con el mismo cualificador se puedan gobernar por una o más reglas genéricas en vez de reglas específicas para cada recurso. Esto reduce el número de reglas requeridas para proteger los recursos adecuadamente, facilitando los esfuerzos de administración y mantenimiento de la seguridad Controles sobre Virus Los virus de ordenador son una amenaza para cualquier tipo de ordenador. Sus efectos pueden ir desde bromas molestas no dañinas hasta ficheros dañados y redes rotas. Los entornos de redes de hoy en día son el medio ideal para propagar virus a todo un sistema. No obstante, el mayor riesgo es el de un disquete infectado que se inserte en la unidad de disquetes. Hay dos formas principales para prevenir y detectar virus: la primera es teniendo establecidas buenas políticas y procedimientos; la segunda mediante medios técnicos que incluye el software antivirus. Ninguna de ella es efectiva sin la otra. Algunos de los controles que deben existir así como las políticas y procedimientos que deben estar puestos en práctica son las siguientes: Construir cualquier sistema utilizando copias maestras originales y limpias. Arrancar solo con disquetes originales siempre con la protección de escritura puesta. No permitir utilizar ningún disco hasta que haya sido analizado en una máquina aislada que se utilice única y exclusivamente para este propósito y que no esté conectada a la red. Actualizar el software antivirus frecuentemente Proteger de escritura todos los disquetes con extensiones.exe o.com Hacer que los vendedores hagan las demostraciones en sus máquinas y no en las de la empresa. Reforzar la regla de no utilizar software compartido sin haber previamente analizado en su totalidad dicho software El software comercial ocasionalmente lleva un Caballo de Troya (virus o gusano)- Analizarlo antes de que sea instalado. Insistir que los técnicos analicen sus discos en una máquina de prueba antes de utilizarlos en el sistema. Asegurar que el administrador de red utilice software antivirus de estaciones de trabajo y de servidores. Crear un registro de arranque maestro que haga inaccesible el disco duro cuando se arranque desde un disquete. Esto asegura que el disco duro no pueda ser contaminado por el disquete. Considerar el cifrar los ficheros y descifrar antes de la ejecución. 133

14 Asegurar que las actualizaciones de las pasarelas, encaminadores y gateways son auténticas. Esta es una forma muy fácil de poner y esconder un Caballo de Troya. Los respaldos son un elemento vital en la estrategia antivirus. Asegurar que se tiene un procedimiento de respaldo bueno y efectivo. Educar a los usuarios para que presten atención a estas políticas y procedimientos. Revisar las políticas y procedimientos antivirus al menos una vez al año. Los medios técnicos de prevención de virus se pueden implementar por medios de hardware y software. Hay cuatro tácticas de hardware para poder reducir el riesgo de infección: 1. Utilizar estaciones de trabajo sin disquetes. 2. Realizar el arranque de forma remota. 3. Utilizar contraseñas basadas en el hardware. 4. Utilizar la protección de escritura en los disquetes. Las herramientas software son las herramientas antivirus más comunes. El software antivirus se debe utilizar primariamente como un control preventivo. A menos que se actualice periódicamente el software antivirus no será una herramienta efectiva. Hay tres tipos diferentes de software antivirus: 1. Escáneres buscan secuencias de bits que sean típicas en programas de virus. Los escáneres examinan la memoria, los sectores de arranque en los discos, los ficheros ejecutables y de mandatos para localizar patrones de bits que casen con los virus conocidos. Los escáneres, por tanto, se tienen que actualizar periódicamente para que contemplen los nuevos virus para que sean eficaces. 2. Monitores activos interceptan las llamadas al DOS y a la BIOS (basic input output system) buscando acciones de virus. Los monitores activos pueden ser molestos porque no pueden distinguir entre una petición de usuario o una petición de programa o de virus. Como resultado, los usuarios tienen que confirmar acciones como formatear un disco o borrar un fichero o conjunto de ficheros. 3. Chequeadores de integridad calcula un número binario sobre un programa libre de virus que se almacena en la base de datos. Al número se le llama chequeo de redundancia cíclica (CRC cyclical redundancy check-). Cuando se invoca la ejecución del programa, el chequeador calcula el CRC del programa y lo compara con el número almacenado en la base de datos. Si no hay coincidencia de ambos números significa que el programa que se quiere ejecutar ha tenido un cambio y esto puede significar que se ha introducido un virus en él. Los chequeadores de integridad aprovechan la ventaja del hecho de que los programas ejecutables y los sectores de arranque no cambian muy a menudo. 8.3 AUDITORÍA DE LA SEGURIDAD LÓGICA Auditoría de la gestión de la seguridad Consiste en la revisión del marco de la gestión de la seguridad en los elementos básicos del marco de seguridad de la información Revisión de las políticas y procedimientos Las políticas y procedimientos suministran el marco y las directrices para mantener la operación y el control correctos. Como tales, deben ser revisados por el Auditor de SI para determinar si fijan un nivel de seguridad adecuado y contemplan los 134

15 medios de asignar la responsabilidad para mantener el entorno de proceso informatizado seguro Políticas de seguridad de acceso lógico Estas políticas deben alentar a limitar el acceso lógico a partir del principio de acceso por necesidad de saber. Deben evaluar razonablemente la exposición a riesgos respecto de los temas críticos que se identifiquen La Percepción de la Seguridad y el Entrenamiento formales Una seguridad eficaz siempre dependerá de las personas. Por ello, la seguridad sólo puede ser eficaz si los empleados saben lo que se espera de ellos y cuáles son sus responsabilidades. Deben tener conocimiento de las razones de las diversas medidas de seguridad, tal como las puertas cerradas y la utilización de los códigos de usuario, y las repercusiones de violar la seguridad. Promover la percepción de la seguridad es un control preventivo. Por medio de este proceso, los empleados perciben sus responsabilidades respecto de mantener buenas seguridades físicas y lógicas. Ello también puede constituir una buena medida de detección dado que alienta a que la gente identifique las posibles violaciones a la seguridad. La formación puede comenzar con un proceso de orientación. Puede incrementarse la percepción mediante revistas de circulación interna, por medio de un cumplimiento ostensible y coherente de las normas de seguridad y por medio de pequeños recordatorios durante las reuniones normales de trabajo. Este programa debe estar bajo la administración del Administrador de Seguridad. Para determinar la eficacia del programa, el Auditor de SI debe entrevistar a una muestra de los empleados para determinar su percepción global Propiedad de los datos La propiedad de los datos por los usuarios es un concepto mediante el cual la responsabilidad de la seguridad de los datos informatizados se distribuye entre los grupos que se mencionan más abajo. Un punto clave del concepto de propiedad es que, al asignar la responsabilidad de proteger los datos informatizados, se establece un sistema de asignación de responsabilidades. El Auditor puede utilizar esa información para determinar si se ha asignado la propiedad de los datos en forma correcta. Asimismo, al entrevistar una muestra de propietarios de datos, el Auditor puede determinar si perciben su responsabilidad de la propiedad de los datos. Los mencionados grupos son los siguientes: Propietarios de datos En general son los gerentes y directores que tienen responsabilidad de que la información que se plasme en los informes que genere el sistema sea la correcta. Su responsabilidad sobre la seguridad incluye: autorizar el acceso, asegurarse de que se actualizan las reglas de acceso cuando haya cambios en el personal y hacer un inventario, de forma periódica, de las reglas de acceso para los datos de los que son propietarios con el objetivo de garantizar un correcto mantenimiento de la seguridad. Custodios de datos Son los responsables de almacenar y salvaguardar los datos. Se incluye al personal de SI como los analistas de sistemas y operadores del ordenador. Administrador de Seguridad 135

16 Véase una descripción de esta función en el Tema 7. Usuarios de datos Quienes utilizan los datos, también denominados usuarios finales, son los destinatarios de los datos. Su nivel de acceso dentro del ordenador debe estar autorizado por los Propietarios de los datos. Su responsabilidad respecto de la seguridad es ser cuidadoso respecto de personas no autorizadas en las áreas de trabajo y cumplir con las directrices generales y políticas de seguridad Autorizaciones documentadas El acceso a los datos debe estar identificado y autorizado por escrito. El auditor puede hacer un examen de una muestra de estas autorizaciones para determinar si se suministra un correcto nivel de autoridad por escrito. Si el centro ha puesto en práctica el concepto de propiedad de los datos, solo los propietarios de los datos pueden dar autorización por escrito Auditoría del acceso lógico Cuando se evalúan los controles de acceso lógico el auditor debe: Obtener un conocimiento general de los riesgos de seguridad que tiene el proceso de la información, por medio de la revisión de documentación relevante, preguntando, la observación y la evaluación de riesgos Documentar y evaluar los controles sobre las vías potenciales de acceso al sistema para evaluar su adecuación, eficiencia y eficacia, mediante la revisión de los aspectos de seguridad del hardware y el software e identificando deficiencias y redundancias Probar los controles sobre las vías de acceso para determinar si están funcionando y son eficaces mediante la utilización de técnicas de auditoría apropiadas. Evaluar el entorno de control de acceso para determinar si se han conseguido los objetivos de control analizando los resultados de las pruebas y otras evidencias de auditoría obtenidas Evaluar el entorno de seguridad para determinar su adecuación mediante la revisión de las políticas por escrito, observando las prácticas operativas y los procedimientos, y comparándolos con los estándares o prácticas y los procedimientos de seguridad utilizados por otras organizaciones Familiarización con el entorno de procesamiento de la información. Este es el primer paso de la auditoría e involucra obtener una clara comprensión del entorno gerencial, técnico y físico del centro de procesamiento de la información. Típicamente incluye: entrevistas, recorridos físicos, examen de documentos y evaluación de riesgos Documentación de las vías de acceso: La vía de acceso es la ruta lógica que utiliza un usuario final para acceder a la información. Comienza en un terminal/estación de trabajo y generalmente termina en los datos a los que quiere acceder. En esa vía se pasa por diversos componentes de hardware y software. El Auditor debe comprobar la correcta implementación y la correcta seguridad tanto del acceso físico y como del lógico de cada componente. La secuencia lógica de los componentes de una vía de acceso es: El usuario final utiliza un PC, que es parte de una RAL, para realizar la conexión. El PC debe estar físicamente seguro, teniendo que estar el identificador de 136

17 usuario/contraseña sujetos a las restricciones detalladas en el apartado características de las contraseñas y reglas de sintaxis de las contraseñas. El Software de Telecomunicaciones intercepta los datos de conexión y los dirige al enlace de telecomunicaciones correcto. El Software de proceso de transacciones es el siguiente componente en la vía de acceso. Este software dirige las transacciones al software de aplicación Lo siguiente que se encuentra es el Software de Aplicación que procesa las transacciones de acuerdo con la lógica del programa. El Sistema de administración de base de datos dirige el acceso a la información informatizada. Ahora ya se puede acceder a los Datos de aplicación. El Software de control de acceso es la capa de seguridad que envuelve a los componentes ya citados Entrevistas al personal de sistemas Normalmente se requieren expertos técnicos para controlar y mantener los diferentes componentes de la ruta de acceso, así como el sistema operativo y el ordenador central. Tales personas son una fuente de información valiosa para lograr una comprensión de la seguridad. Para determinar quienes son el auditor tendrá que preguntar al director de SI y revisar los organigramas y los perfiles del personal. El personal clave que debe entrevistar incluye al Administrador de Seguridad, al Gerente de Control de Red y al Gerente de Software de Sistemas. Durante las entrevistas, debe solicitar al Administrador de Seguridad que le especifique las responsabilidades y funciones de su cargo. Si las respuestas que da a esta pregunta no respaldan prácticas de control razonables, o no están conformes a la descripción de tareas descritas en los perfiles de puestos de trabajo, el Auditor de SI se puede ver obligado a expandir el alcance de las pruebas de los controles de acceso Realizar un examen de los informes generados por el Software de Control de Acceso Las informes generados por el SCA brinda al Administrador de Seguridad la oportunidad de monitorizar el cumplimiento de las políticas de seguridad. Haciendo una revisión de una muestra de los informes, el Auditor puede determinar si se suministra suficiente información para respaldar una investigación y si el administrador de seguridad revisa una revisión eficaz de estos informes. Los intentos infructuosos de acceso deben ser informados, identificando la hora, el terminal, los datos de conexión y el archivo al cual se intentó acceder Prueba de las prácticas y procedimientos de seguridad Utilización de las tarjetas y llaves de terminales El Auditor de puede tomar una muestra de esas tarjetas y llaves e intentar lograr un acceso más allá de lo autorizado. También, debe determinar si el Administrador de Seguridad ha hecho un seguimiento de cualquier violación infructuosa que se haya intentado Identificación de terminal El Auditor puede trabajar con el Gerente de Red para obtener un listado de las direcciones y ubicaciones de los terminales. Después, puede utilizar esa lista para realizar un inventario de los terminales, investigando terminales registrados 137

18 incorrectamente, faltantes o adicionales. También debe seleccionar una muestra de terminales para asegurar que están identificados en el Diagrama de Red Códigos de usuario y Contraseñas El auditor debe intentar adivinar la contraseña de una muestra de códigos de usuario. Esto debe hacerse en forma discreta para evitar perturbar a los empleados. También debe hacer un recorrido de las áreas de trabajo de los usuarios finales y programadores en busca de contraseñas adheridas a los costados de los terminales y en el interior de los cajones. Otra fuente de información confidencial son las papeleras. Debe tener en cuenta la posibilidad de revisar las papeleras de la oficina para buscar información confidencial y contraseñas. Para probar el encriptado, el auditor debe trabajar con el Administrador de seguridad para intentar acceder a la tabla de contraseñas. Si es posible hacerlo, su contenido debe ser ilegible. Igualmente, que puedan visualizarse las contraseñas puede resultar peligroso. En algunos sistemas, aunque sea imposible descifrar las contraseñas, una persona puede conseguir el programa de encriptado, encriptar contraseñas comunes y buscar coincidencias. Para probar la autorización de acceso, el auditor debe hacer un examen de una muestra de documentos de autorización de acceso para determinar si se suministró la autoridad correcta y si la autorización se otorgó a partir de una necesidad de saber. Al revés, debe obtener un informe de las reglas de acceso al ordenador generado por ordenador y realizar una muestra para: l) determinar si el acceso se hace en función de la necesidad de saber y 2) intentar emparejar la muestra de esas reglas con los documentos de autorización. Si no se encuentran autorizaciones escritas, ello indicará una ruptura de los controles y puede implicar una necesidad de mayores exámenes para determinar las exposiciones a riesgos y sus consecuencias. Para probar las necesidades de cambio periódico, el auditor probablemente pueda utilizar su experiencia en el uso del sistema y entrevistar una muestra de usuarios para determinar si se los obliga a cambiar sus contraseñas luego de un período determinado de tiempo. Para probar el borrado de contraseñas inactivas, el auditor debe obtener un listado de códigos de usuarios activos. Por medio de un muestreo, debe emparejar esa lista con los empleados actuales, buscando códigos de usuario asignados a empleados o consultores que ya no trabajan en la empresa. Para probar la sintaxis de las contraseñas, el auditor debe intentar crear contraseñas con un formato no válido, por ejemplo, demasiado cortas, demasiado largas, repeticiones de la contraseña anterior, con una mezcla no correcta de caracteres alfabéticos y numéricos. Para probar la desconexión automática de terminales el auditor debe hacer una conexión en terminales y no introducir más transacciones. Luego simplemente esperar a que los terminales se desconecten tras el intervalo establecido. Antes de comenzar la prueba, debe verificar con el Administrador de Seguridad que la función de desconexión automática vale para todos los terminales. Para probar la desactivación automática de terminales tras un número de intentos infructuosos de acceso, el auditor debe intentar hacer una conexión introduciendo intencionadamente una contraseña equivocada una cantidad de veces. El identificador de usuario debe desactivarse luego de que se haya introducida una cantidad preestablecida de contraseñas inválidas. También debe preocuparse por cómo el Administrador de Seguridad reactiva el identificador de usuario. Si una simple llamada telefónica al Administrador de Seguridad sin verificación de la 138

19 identificación conlleva la reactivación, entonces la función no está controlada correctamente. Para probar el ennmascaramiento de las contraseñas en los terminales, el auditor debe hacer una conexión en un terminal y observar si exhibe la contraseña cuando se la introduce Controles sobre los recursos de producción Los controles de acceso al ordenador deben ir más allá de los datos de aplicación y las transacciones. Existen numerosas utilidades, bibliotecas de Lenguaje de Control de Trabajos, bibliotecas de control y parámetros de software de sistemas para los que el control de acceso debe ser especialmente fuerte. El auditor debe trabajar junto al Analista de Software de sistemas y el Gerente de Operaciones para determinar los recursos de producción sensibles. Cuando trabaje con el Administrador de Seguridad, debe determinar quién puede tener acceso a los recursos y qué puede hacerse con ese acceso. Debe determinar si el acceso se hace en función de una necesidad de saber Registro y generación de un informe de violaciones de acceso al ordenador Para probar la generación de informes de violaciones de acceso, el auditor debe intentar acceder a transacciones o a datos para los cuales el acceso no esté autorizado. Los intentos deben ser infructuosos y quedar identificados en los informes de seguridad. Esta prueba debe coordinarse con el propietario de los datos y el Administrador de Seguridad a fin de evitar violaciones a las normas de seguridad Seguimiento de las violaciones de acceso Para probar la eficacia y oportunidad de la respuesta del Administrador de Seguridad y el propietario de los datos a los intentos de violación informados, el auditor debe escoger una muestra de informes de seguridad, y buscar la evidencia de que se ha hecho el seguimiento e investigación de las violaciones de acceso. Si no se encuentra tal evidencia, debe realizar más entrevistas para determinar por qué existe tal situación Controles de devolución de llamada Para probar la autorización de devolución de llamada, el auditor debe llamar al ordenador desde números autorizados y no autorizados. Si los controles son adecuados, la conexión con éxito sólo podrá realizarse únicamente desde los números autorizados. También debe probar los controles lógicos que se aplican una vez lograda la conexión con el ordenador intentando acceder a archivos no autorizados. Esta prueba debe coordinarse con el Administrador de Seguridad a fin de evitar de violar las normas de seguridad Autorización de cambios a la red Los cambios de la configuración de la red de telecomunicaciones, terminales, módems y otros dispositivos de red, deben estar autorizados por la gerencia por escrito y deben ser implementados en forma oportuna. El auditor puede probar el control de cambios: l) realizando un muestreo de solicitudes de cambio recientes, buscando la autorización apropiada y emparejando la solicitud con el dispositivo de red real y 2) emparejando cambios recientes a la red, por ejemplo nuevas líneas de telecomunicaciones, terminales agregados, con solicitudes de cambio autorizadas. Como control adicional el auditor debe determinar quién tiene acceso al software para cambio de la red. Este acceso debe estar restringido a la Gerencia de Red. 139

20 Identificación de métodos para eludir la seguridad y controles compensatorios al respecto Este puede ser un área de revisión muy técnica. Por ello, el auditor debe trabajar en conjunto con el Analista de Software de Sistemas, el Gerente de Red, el Gerente de Operaciones y el Administrador de Seguridad para determinar las formas de eludir la seguridad. Cuando trabaje con el Administrador de Seguridad, debe determinar quién puede lograr acceso a esos recursos y qué puede hacerse con ese acceso. Después debe determinar si el acceso se basa en una necesidad de saber. Dado que muchas de las funciones para eludir la seguridad pueden ser aprovechadas por intrusos altamente capacitados el auditor debe enterarse de los controles compensatorios previstos, tales como los siguientes: Todos los usos de esas funciones deben: quedar registrados en un histórico, ser informados e investigados por el Administrador de Seguridad o el Gerente de Software de Base Deben desactivarse las funciones de eludir la seguridad innecesarias De ser posible, las funciones de eludir la seguridad deben estar sometidas a controles de acceso lógicos Revisar los controles de acceso y la administración de contraseñas Para determinar sí: Existen procedimientos para añadir individuos a las listas de autorizados a acceder a los recursos informáticos, cambiar sus derechos de acceso y borrarlos de la lista Existen procedimientos para asegurar que las contraseñas individuales no se divulgan inadvertidamente; Las contraseñas generadas son de una longitud adecuada, no son fáciles de adivinar y no contienen repetición de caracteres; Se cambian las contraseñas de forma periódica; Los responsables de los departamentos usuarios periódicamente validan los derechos de acceso que en ese momento se otorgan a las personas de sus respectivos departamentos; Los procedimientos determinan la suspensión de los códigos de identificación de usuario o la inhabilitación del terminal, microordenador, o de la actividad del dispositivo de carga de datos tras una determinada cantidad de violaciones a los procedimientos de seguridad; y La identificación física de la sede del CPD se hace en forma discreta y reservada. 8.4 SEGURIDAD DEL ACCESO FÍSICO Y DEL ENTORNO La exposición a riesgos de acceso físico y del entorno puede producir pérdidas financieras, repercusiones legales, pérdida de credibilidad o pérdida de competitividad. Tienen causas de origen natural o humanos y puede exponer el negocio al riesgo del acceso no autorizado Seguridad del acceso físico Exposiciones de acceso físico Las exposiciones a riesgos debidas a violaciones accidentales o intencionadas de estas rutas de acceso incluyen: Entrada no autorizada 140

TEMA 6 AUDITORÍA DE LA SEGURIDAD LÓGICA

TEMA 6 AUDITORÍA DE LA SEGURIDAD LÓGICA TEMA 6 AUDITORÍA DE LA SEGURIDAD LÓGICA Tema 6. Contenido Objetivos del tema Elementos clave de la gestión de la Crímenes informáticos Exposiciones de acceso lógico Métodos de acceso lógico Controles sobre

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR:

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR: DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR: 19/10/2015 Audedatos Josema Gil Nº edición: 01 Nº revisión: 01 Página 2 de 14 Fecha Edición Revisión Cambios Realizados

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

SEGURIDAD EN SISTEMAS DE INFORMACION. TEMA 1. Introducción

SEGURIDAD EN SISTEMAS DE INFORMACION. TEMA 1. Introducción SEGURIDAD EN SISTEMAS DE INFORMACION TEMA 1. Introducción FJRP. SSI, 2007 10 de febrero de 2007 1 1. Definición y objetivos DEFINICIÓN: Se entiende por seguridad una característica de un sistema (no sólo

Más detalles

Seguridad en Sistemas

Seguridad en Sistemas Seguridad en Sistemas Introducción En nuestra presentación el objetivo principal es entender que es seguridad y si existe la seguridad en los sistemas, y comprobamos que la seguridad en los sistemas no

Más detalles

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA... 3 INTRODUCCIÓN... 3 1.- DISPOSICIONES GENERALES... 3 1.1 ÁMBITO DE APLICACIÓN

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

Capítulo 5 Administración de Archivos Electrónicos

Capítulo 5 Administración de Archivos Electrónicos De vuelta al índice 5 Capítulo 5 Administración de Archivos Electrónicos 5.1 General. Este capítulo establece los requisitos básicos para la creación, mantenimiento, acceso, retención, almacenamiento y

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 1. Certificados Digitales 1. Formatos 2. Autoridades de Certificación 2. Firmas Digitales 3. Comercio Electrónico 1. Participantes 2. Elementos 4.

Más detalles

RIESGOS INFORMATICOS

RIESGOS INFORMATICOS 1 INTRODUCCION RIESGOS INFORMATICOS LA GESTION DE LOS RIESGOS El principal objetivo de la administración de riesgos, como primera ley de la naturaleza, es garantizar la supervivencia de la organización,

Más detalles

Aplicación del marco COBIT para respaldar la ley Sarbanes Oxley y otras regulaciones de conformidad en el Servidor i de IBM

Aplicación del marco COBIT para respaldar la ley Sarbanes Oxley y otras regulaciones de conformidad en el Servidor i de IBM Libro blanco de Aplicación del marco COBIT para respaldar la ley Sarbanes Oxley y otras regulaciones de conformidad en el Servidor i de IBM AH Technology escribió este libro blanco. AH Technology son distribuidores

Más detalles

POLÍTICAS DE SEGURIDAD DE ACTIVOS DE INFORMACIÓN.

POLÍTICAS DE SEGURIDAD DE ACTIVOS DE INFORMACIÓN. POLÍTICAS DE SEGURIDAD DE ACTIVOS DE INFORMACIÓN. Objetivo de Control: Proveer dirección y soporte a la administración para la seguridad de información. 1.1 Protección y respaldo de la información 1.1.1

Más detalles

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones: Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN GUIA DE SEGURIDAD INFORMÁTICA PARA LA FORMACIÓN Y SENSIBILIZACIÓN DE USUARIOS FINALES POR QUÉ LA SEGURIDAD INFORMÁTICA? PORQUE SI UN SISTEMA DE INFORMACIÓN DEJA

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

Guía de Seguridad en Redes Sociales

Guía de Seguridad en Redes Sociales Guía de Seguridad en Redes Sociales INTRODUCCIÓN Las redes sociales son parte de los hábitos cotidianos de navegación de gran cantidad de personas. Cualquier usuario de Internet hace uso de al menos una

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION

SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION ALCALDÍA MAYOR DE BOGOTÁ D.C. Secretaría Distrital INTEGRACIÓN SOCIAL SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION LINEAMIENTOS DE SEGURIDAD INFORMATICA SDIS Bogotá,

Más detalles

Tema 4: Protección y Seguridad

Tema 4: Protección y Seguridad Tema 4: Protección y Seguridad 1. Introducción 2. Protección 3. Seguridad Dpto. Languajes y Sistemas Informáticos. Universidad de Granada 1. Introducción Protección: es estrictamente un problema interno

Más detalles

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA POLITICA DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION Decreto 411.0.20.0563 de Sep 9 de 2010 AREA DE SISTEMAS Abril 2012 INTRODUCCION La información

Más detalles

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

POLITICA DE SEGURIDAD DE LA INFORMACIÓN POLITICA DE SEGURIDAD DE LA INFORMACIÓN En AVANSIS, la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso

Más detalles

Tema 2 Introducción a la Auditoría de Sistemas de Información

Tema 2 Introducción a la Auditoría de Sistemas de Información Bloque II EL PROCESO Y LOS ELEMENTOS DE LA AUDITORÍA DE SSII Tema 2 Introducción a la Auditoría de Sistemas de Información José F Vélez Serrano Francisco Nava Tema 1 Introducción a la auditoría de SSII

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO Unidad de Proyectos Especiales Guía Técnico Normativa para el uso del equipo de cómputo y de los servicios de conectividad de la Dirección General

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

SEGURIDAD INFORMATICA TEMAS DEL PROGRAMA

SEGURIDAD INFORMATICA TEMAS DEL PROGRAMA SEGURIDAD INFORMATICA Algunos datos de Ricardo Riso Revista Consultor Empresarial y Notas de la Cátedra A medida que aumenta la comunicación internacional crece la necesidad de proteger la integridad de

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

NORMATIVA GLOSARIO DE TERMINOS

NORMATIVA GLOSARIO DE TERMINOS NORMATIVA El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante LOPD), obliga al responsable del fichero, y, en su caso, al encargado del

Más detalles

Análisis de la Norma BCRA A 4609

Análisis de la Norma BCRA A 4609 Análisis de la Norma BCRA A 4609 Seguridad Informática y Continuidad de Procesamiento Módulo I: Fase Teórica Lic. Raúl Castellanos rcastellanos@cybsec.com 5 de Junio de 2007 Buenos Aires - ARGENTINA Agenda

Más detalles

4.4. IMPLEMENTACION DE SISTEMAS

4.4. IMPLEMENTACION DE SISTEMAS 4.4. IMPLEMENTACION DE SISTEMAS DEFINICION: - Todas las actividades necesarias para convertir el sistema anterior al nuevo sistema - Proceso que asegura la operatividad del sistema de información y que

Más detalles

Código de uso de los sistemas y recursos informáticos 20150331

Código de uso de los sistemas y recursos informáticos 20150331 Código de uso de los sistemas y recursos informáticos 20150331 Índice de contenido Introducción...3 Alcance...3 Vigencia...3 Interpretación...4 Derechos de los usuarios...7 1. Acceso a los recursos informáticos...7

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la

Más detalles

SEGURIDAD INFORMATICA. Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño

SEGURIDAD INFORMATICA. Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño SEGURIDAD INFORMATICA Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño DEFINICIONES DE HACKER: Un hacker (del inglés hack, recortar), también conocidos como sombreros blancos es el neologismo

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Vicerrectorado de Servicios Informáticos y de Comunicación Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM

Vicerrectorado de Servicios Informáticos y de Comunicación Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM 1. Objetivo del documento Establecer las normas de uso correcto de los Recursos Informáticos y de la Red de Datos en la UPM.

Más detalles

Protección y Seguridad

Protección y Seguridad Protección y Seguridad Transparencias basadas en los libros de referencia: Sistemas operativos. Una visión aplicada. J. Carretero, F.García, P. de Miguel, F. Pérez. McGraw Hill 2001c Sistemas Operativos

Más detalles

NORMAS BASICAS DE AUDITORIA DE SISTEMAS

NORMAS BASICAS DE AUDITORIA DE SISTEMAS DIRECCION DE ESTRUCTURAS ADMINISTRATIVAS Y SISTEMAS DE INFORMACIÓN DEPARTAMENTO DE SISTEMAS DE INFORMACION NORMAS BASICAS DE AUDITORIA DE SISTEMAS 1 INDICE INTRODUCCIÓN Objetivos Control Interno Normas

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

GUÍA DE AMENAZAS. Las diez amenazas más peligrosas de Internet

GUÍA DE AMENAZAS. Las diez amenazas más peligrosas de Internet GUÍA DE AMENAZAS Botnet Su accionar consiste en formar una red o grupo de computadoras zombis (infectados con malware), que son controlados por el propietario de los bots (atacante). Es decir, toman control

Más detalles

La seguridad de los datos implica protegerlos de operaciones indebidas que pongan en peligro su definición, existencia, consistencia e integridad

La seguridad de los datos implica protegerlos de operaciones indebidas que pongan en peligro su definición, existencia, consistencia e integridad La seguridad de los datos implica protegerlos de operaciones indebidas que pongan en peligro su definición, existencia, consistencia e integridad independientemente de la persona que los accede. Esto se

Más detalles

SEGURIDAD Y PROTECCION DE FICHEROS

SEGURIDAD Y PROTECCION DE FICHEROS SEGURIDAD Y PROTECCION DE FICHEROS INTEGRIDAD DEL SISTEMA DE ARCHIVOS ATAQUES AL SISTEMA PRINCIPIOS DE DISEÑO DE SISTEMAS SEGUROS IDENTIFICACIÓN DE USUARIOS MECANISMOS DE PROTECCIÓN Y CONTROL INTEGRIDAD

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

Seguridad Informática

Seguridad Informática BIBLIOTECA UNIVERSITARIA Seguridad Informática Material formativo Reconocimiento NoComercial-CompartirIgual (By-ns-sa): No se permite un uso comercial de la obra original ni de las posibles obras derivadas,

Más detalles

MODELO DOCUMENTO DE SEGURIDAD

MODELO DOCUMENTO DE SEGURIDAD MODELO DOCUMENTO DE SEGURIDAD Responsable del Fichero...... Nombre del Fichero...... Nº de Inscripción... Nº de la Versión... Fecha... ÍNDICE 1. Objeto del documento 2. Ámbito de aplicación 3. Recursos

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Seguridad informática. Vulnerabilidad de los sistemas. Hackers. Back ups.

Seguridad informática. Vulnerabilidad de los sistemas. Hackers. Back ups. 1 Colegio Bosque Del Plata Tecnología de la Información y las Comunicaciones UNIDAD 3 Uso y control de los sistemas de información E-mail: garcia.fernando.j@gmail.com Profesor: Fernando J. Garcia Ingeniero

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

MALWARE versus SEGURIDAD DE LA INFORMACIÓN

MALWARE versus SEGURIDAD DE LA INFORMACIÓN MALWARE versus SEGURIDAD DE LA INFORMACIÓN La información al alcance de cualquiera? F. Javier Bruna Sánchez Ingeniero en Informática Auditor de normas internacionales sistemasgestion@secartys.org 1 aunque

Más detalles

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? 1 Título diapositiva Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? Alicia Barnard Amozorrutia Quito, Ecuador, abril 25, 2014 2 Contenido Auditoría

Más detalles

POLITICA DE SEGURIDAD

POLITICA DE SEGURIDAD POLITICA DE SEGURIDAD ALCANCE DE LAS POLÍTICAS Las políticas definidas el presente documento aplican a todos los funcionarios públicos, contratistas y pasantes de la Corporación Para el Desarrollo Sostenible

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el manejo de la información y, como es de todos conocido la información viene a representar

Más detalles

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN Lineamientos y normativas para el respaldo de la información de los usuarios de Opus Software Publicado por Sector PMO & Gestión Documental de Opus

Más detalles

TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas.

TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas. Hoja 1 CAPITULO 1-7 TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS 1.- Aplicación de las presentes normas. Las presentes normas se refieren a la prestación de servicios bancarios y la realización de

Más detalles

AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS AUDITORIA DE SISTEMAS Contenido 1 SEGURIDAD EN LOS CENTROS DE PROCESOS DE DATOS 2 SEGURIDAD FISICA 3 MECANISMOS DE SEGURIDAD BASICOS QUE DEBE CONTEMPLAR UN DATACENTER 4 COMBINACION DE METODOS PARA AUMENTAR

Más detalles

SECCIÓN AU 240 CONSIDERACIÓN DE FRAUDE EN UNA AUDITORÍA DE ESTADOS FINANCIEROS CONTENIDO

SECCIÓN AU 240 CONSIDERACIÓN DE FRAUDE EN UNA AUDITORÍA DE ESTADOS FINANCIEROS CONTENIDO SECCIÓN AU 240 CONSIDERACIÓN DE FRAUDE EN UNA AUDITORÍA DE ESTADOS FINANCIEROS CONTENIDO Párrafos Introducción Alcance de esta Sección 1 Características del fraude 2-3 Responsabilidad por la prevención

Más detalles

PLANEACIÓN DE SISTEMAS INFORMÁTICOS ING. KARINA RAMÍREZ DURÁN

PLANEACIÓN DE SISTEMAS INFORMÁTICOS ING. KARINA RAMÍREZ DURÁN PLANEACIÓN DE SISTEMAS INFORMÁTICOS ING. KARINA RAMÍREZ DURÁN Principios y criterios para la evaluación del ciclo de vida de desarrollo de sistemas Se pueden enunciar algunos principios para desarrollar

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

CAPÍTULO 3 SEGURIDAD LÓGICA

CAPÍTULO 3 SEGURIDAD LÓGICA CAPÍTULO 3 Miro a mi alrededor veo que la tecnología ha sobrepasado nuestra humanidad, espero que algún día nuestra humanidad sobrepase la tecnología. Albert Einstein SEGURIDAD LÓGICA Luego de ver como

Más detalles

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO...

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... 3 3. AMENAZAS A LA INFORMACIÓN... 5 4. GESTIÓN DE LA SEGURIDAD... 5 5. PLANIFICACIÓN DE LA SEGURIDAD... 6 6. POLÍTICAS DE SEGURIDAD

Más detalles

Capitulo 9 SEGURIDAD Y RIESGOS DE LA COMPUTADORA

Capitulo 9 SEGURIDAD Y RIESGOS DE LA COMPUTADORA Capitulo 9 SEGURIDAD Y RIESGOS DE LA COMPUTADORA PROSCRITOS ONLINE: EL DELITO INFORMATICO Uso de la tecnología informática en el área del combate al delito: Bases de datos cruzar y almacenar pistas Reconocimiento

Más detalles

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes?

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes? Introducción a la Seguridad Informática Dra. Maricela Bravo La información como activo estratégico Recordando Qué es un sistema de información? Es el conjunto que resulta de la integración de cuatro elementos:

Más detalles

Los virus informáticos

Los virus informáticos SEGURIDAD DE LA INFORMACIÓN Es el estudio de los métodos y medios de protección de los sistemas de información y comunicaciones frente a amenazas de los siguientes tipos: - Sin intervención humana Amenazas

Más detalles

SEGURIDAD INFORMATICA PHISHING: Definición:

SEGURIDAD INFORMATICA PHISHING: Definición: SEGURIDAD INFORMATICA PHISHING: Definición: El "phishing" es una modalidad de estafa diseñada con la finalidad de robarle al usuario su identidad. El delito consiste en obtener información tal como números

Más detalles

Premios TIC Administración General del Estado 2015 Categoría Seguridad Informática

Premios TIC Administración General del Estado 2015 Categoría Seguridad Informática Categoría Seguridad Informática Securización de Base de Datos distribuidas de Gestión Procesal adscritas al Ministerio de Justicia (Memoria) Securización de Base de Datos distribuidas de Gestión Procesal

Más detalles

TEMA 7 Seguridad Informática

TEMA 7 Seguridad Informática TEMA 7 Seguridad Informática 7.1 Introducción (1/2) La información es uno de los activos más importantes de las organizaciones, y de modo especial en algunos sectores de actividad. La seguridad de datos

Más detalles

Directrices del Plan Director de Seguridad:

Directrices del Plan Director de Seguridad: Directrices del Plan Director de Seguridad: ISO 17799 Jefe de Servicio de Sistemas Informáticos Ministerio de Trabajo y Asuntos Sociales Palabras clave Plan Director, Seguridad, ISO 17799.. Resumen de

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) Página 1 de 10 POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDIA DE RECETOR 2014 Página 2 de 10 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración

Más detalles

Capítulo VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

Capítulo VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Capítulo VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN En este capitulo se elaboraran las políticas de seguridad con el propósito de proteger la información de la empresa, estas servirán de guía para la

Más detalles

Implantación de Sistemas

Implantación de Sistemas Implantación de Sistemas Maria Ines Parnisari 17 de Diciembre de 2014 Índice Parte 1: Implantación... 2 Factores clave para una implantación exitosa... 2 Etapas de un proyecto de Sistemas... 2 Fases de

Más detalles

Cifrado de la información. Guía corporativa

Cifrado de la información. Guía corporativa Cifrado de la información Guía corporativa La encriptación de datos en las empresas 1. Introducción 3 Guía corporativa de encriptación de datos 1. Introducción La información es uno de los recursos más

Más detalles

CONTROL INTERNO DEFINICIÓN

CONTROL INTERNO DEFINICIÓN CONTROL INTERNO DEFINICIÓN Es el conjunto de planes, métodos y procedimientos adoptados por una organización, con el fin de asegurar que: Los activos estén debidamente protegidos Los registros contables

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

SEGURIDAD EN INTERNET. MALWARE

SEGURIDAD EN INTERNET. MALWARE 1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir;

Más detalles

MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1

MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1 MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1 MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS ÍNDICE 1. ENTORNO 3 2. OBJETIVO

Más detalles

Ayuntamiento de San Roque Centro de Proceso de Datos CPD

Ayuntamiento de San Roque Centro de Proceso de Datos CPD MANUAL DE COMPORTAMIENTO PARA EL PERSONAL DEL AYUNTAMIENTO DE SAN ROQUE EN EL USO DE LOS EQUIPOS INFORMÁTICOS Y REDES DE COMUNICACIÓN 1. Introducción. 1.1. El presente documento está basado en el Manual

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

TEMA 1 Modelo OSI de Seguridad

TEMA 1 Modelo OSI de Seguridad TEMA 1 Modelo OSI de Seguridad José María Sierra Departamento de Informática Universidad Carlos III de Madrid José M. Sierra 1 Introducción Necesidad de seguridad de una organización Evaluar su nivel de

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDÍA DE SAN LUIS DE PALENQUE 2014 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración general

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

SEGURIDAD EN INFORMÁTICA

SEGURIDAD EN INFORMÁTICA SEGURIDAD EN INFORMÁTICA LA SEGURIDAD Y SUS IMPLICACIONES Características principales de la seguridad en Internet: Confidencialidad. Sólo deben tener acceso a aquellas personas autorizadas para ello. Autentificación

Más detalles

POLÍTICA DE INFRAESTRUCTURA INFORMÁTICA

POLÍTICA DE INFRAESTRUCTURA INFORMÁTICA POLÍTICA DE INFRAESTRUCTURA INFORMÁTICA FACULTAD DE MEDICINA / UNIVERSIDAD DE CHILE INTRODUCCIÓN 2 1. Política de Seguridad. 4 Definición Dominios de la seguridad Roles y Responsabilidades Implementación

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

Auditoria de Sistemas

Auditoria de Sistemas Sistemas de Información I Página1 1. Introducción La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorias, requieren

Más detalles