auditoria informatica clases 7 unidad ii seguridad
Post on 03-Apr-2018
229 Views
Preview:
TRANSCRIPT
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
1/19
Auditoria Informtica Unidad II
Seguridad de la Informacin
1. Seguridad Fsica2. Seguridad Lgica
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
2/19
Auditoria Informtica Unidad II
Seguridad de la Informacin
1. La seguridad fsica se refiere a la proteccin del Hardware y delos soportes de datos, as como a la de los edificios einstalaciones que los albergan. Contempla las situaciones deincendios, sabotajes, robos, catstrofes naturales, etc.
2. La seguridad lgica se refiere a la seguridad de uso delsoftware, a la proteccin de los datos, procesos y programas,as como la del ordenado y autorizado acceso de los usuarios a
la informacin.
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
3/19
Auditora Informtica Unidad II
Seguridad de la Informacin
1. El propsito de la Seguridad Fsica es prevenir el acceso fsicono autorizado, daos a las instalaciones e interrupciones alprocesamiento de informacin.
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
4/19
Auditora Informtica Unidad II
Seguridad de la Informacin
Permetro de Seguridad Fsica Las instalaciones de procesamientode informacin deben estar
protegidas contra interrupciones o daos producto del acceso noautorizado al rea. Por lo tanto, es necesario mantener un permetro deseguridad en torno a las instalaciones fsicas que cumpla con talobjetivo.
El nivel de seguridad de la informacin debe estar asociado al nivel deimpacto que provocara una interrupcin en los procesos de la
empresa, el dao a la integridad y la divulgacin de la informacinreservada o confidencial.
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
5/19
Auditora Informtica Unidad II
Seguridad de la Informacin
Controles Fsicos Las reas de procesamiento deben contar con controles de
acceso que aseguren el ingreso solo a personal autorizado. Lossiguientes controles deben ser considerados:
Exigencia de portar la identificacin al momento del ingreso y duranteel periodo en que se encuentra en la instalacin.
Supervisin para los visitantes y personal que no cumple laboresfrecuentes.
Registro con fecha y hora de entrada y salida de personal.
Los derechos de acceso deben ser peridicamente revisados yactualizados.
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
6/19
Auditora Informtica Unidad II
Seguridad de la Informacin
Controles Fsicos (continuacin) Seguridad en las oficinas: Todos los lugares en que se declare trabajar con informacin
sensible, deben contar con medidas que eviten el acceso delpblico y personal no autorizado.
Las reas comerciales deben contar con mecanismos de seguridad
que impidan el acceso no autorizado a informacin sensible quemanejen, sobre todo en horario de atencin de pblico.
Las mquinas de fax, fotocopiadoras y equipamiento que manejaninformacin sensible, deben estar ubicado dentro del reaprotegida.
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
7/19
Auditora Informtica Unidad II
Seguridad de la Informacin
Controles Fsicos (continuacin) reas de recepcin y despacho: Las reas de recepcin y despacho deben ser controlada y en la medida
de lo posible, aisladas de reas que manejen informacin sensible, paraevitar el acceso no autorizado.
Los requerimientos de seguridad de tales reas deben estardeterminados por una evaluacin de riesgos.
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
8/19
Auditoria Informtica Unidad II
Seguridad de la Informacin
Seguridad Lgica
Control de Acceso: su propsito es evitar el acceso no autorizado a lainformacin digital e instalaciones de procesamiento de datos.
Administracin de usuarios;
El nivel de acceso asignado debe ser consistente con el propsito del negocio.
Todo usuario que acceda a los sistemas de informacin de la empresa, debe
tener asignado un identificador nico (user ID), que permita establecerresponsabilidades individuales en el uso de los sistemas de informacin.
Los permisos asignados a los usuarios deben estar adecuadamenteregistrados y protegidos.
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
9/19
Auditora Informtica Unidad II
Seguridad de la Informacin
Seguridad Lgica
Administracin de usuarios (continuacin) Cualquier cambio de posicin o funcin de un rol, amerita evaluacin de
los permisos asignados, con el fin de realizar las modificaciones quecorrespondan en forma oportuna .
Los sistemas de informacin de la organizacin, deben contar con
mecanismos robustos de autenticacin de usuarios, sobre todo deaquellos usuarios conectados desde redes externas.
La creacin, modificacin y eliminacin de claves debe ser controlada atravs de un procedimiento formal.
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
10/19
Auditoria Informtica Unidad II
Seguridad de la Informacin
Seguridad Lgica
Control de red La empresa debe contar con controles que protejan la informacin
dispuesta en las redes de informacin y los servicios interconectados,evitando as accesos no autorizados (ejemplo; firewalls).
Debe existir un adecuado nivel de segregacin funcional que regule las
actividades ejecutadas por los administradores de redes, operaciones yseguridad.
Deben existir Loas de eventos que permita el monitoreo de incidentesde seguridad en redes.
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
11/19
Auditoria Informtica Unidad II
Seguridad de la Informacin
Seguridad Lgica
Control de datos La empresa debe contar con controles que protejan la informacin dispuesta en
las bases de datos de las aplicaciones, evitando as accesos no autorizados.
Debe existir un adecuado nivel de segregacin de funciones que regule lasactividades ejecutadas por los administradores de datos.
Se debe mantener un Log de actividades que registre las actividades de los
administradores de los administradores d datos. Los usuarios deben acceder a la informacin contenida en las bases de datos,
nicamente a travs de aplicaciones que cuentan con mecanismos de control queaseguren el acceso a la informacin autorizada (clave de acceso a la aplicacin)
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
12/19
Auditoria Informtica Unidad II
Seguridad de la Informacin
Seguridad Lgica
Encriptacin El nivel de proteccin de informacin debe estar basado en un anlisis de
riesgo.
Este anlisis debe permitir identificar cuando es necesario encriptar lainformacin, el tipo, calidad del algoritmo de encriptacin y el largo de las
claves criptogrficas a ser usadas. Toda informacin clasificada como restringida y confidencial debe ser
almacenada, procesada y transmitida en forma encriptada.
Todas las claves criptogrficas deben estar protegidas contramodificacin, perdida y destruccin.
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
13/19
Auditoria Informtica Unidad II
Seguridad de la Informacin
Seguridad Lgica
Administracin de claves Las claves deben estar protegidas contra accesos y modificacin no
autorizada, perdida y destruccin.
El equipamiento utilizado para generar y almacenar las claves debeestar fsicamente protegido.
La proteccin de las claves debe impedir su visualizacin, aun si sevulnera el acceso al medio que la contiene.
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
14/19
Auditoria Informtica Unidad II
Seguridad de la Informacin
Seguridad Lgica
Uso de Passwords; Las passwords o claves de usuario son un elementoimportante de seguridad, por lo tanto, todo empleado o tercera parte, debeutilizar una clave segura para el acceso a los sistemas de la organizacin. Estaclave segura tiene la condicin de personal e intransferible.
Se considera una clave dbil o no segura cuando: La clave contiene menos de ocho caracteres.
La clave es encontrada en un diccionario. La clave es una palabra de uso comn tal como: nombre de un familiar,
mascota, amigo, colega, etc.
La clave es fecha de cumpleaos u otra informacin personal como direccionesy nmeros telefnicos.
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
15/19
Auditoria Informtica Unidad II
Seguridad de la Informacin
Seguridad Lgica
Se considera una clave segura cuando; La clave contiene may de ocho caracteres.
La clave contiene caracteres en minscula y mayscula.
La clave tiene dgitos de puntuacin, letras y nmeros intercalados.
La clave no obedece a una palabra o lenguaje, dialecto o jerga Fcil de recordar.
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
16/19
Auditoria Informtica Unidad II
Seguridad de la Informacin
Seguridad Lgica
Intercambio de Informacin; prevenir la perdida,modificacin o acceso no autorizado y el mal uso de lainformacin que la empresa intercambia como parte de susprocesos de negocio.
Acuerdos de intercambio; en todos los casos de intercambio deinformacin sensible, se deben tomar todos los resguardos queeviten su revelacin no autorizada.
Todo intercambio de informacin debe estar autorizadaexpresamente por el dueo de esta.
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
17/19
Auditoria Informtica Unidad II
Seguridad de la Informacin
Seguridad Lgica
Intercambio de Informacin (continuacin). Seguridad de los medios removibles;
El dueo de la informacin es quien autoriza a travs de algn medioremovible desde la organizacin.
Los dispositivos que permiten a los computadores manejar mediosremovibles, deben ser habilitados cuando haya una razn de negociopara hacerlo y previa autorizacin del dueo de la informacin.
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
18/19
Auditoria Informtica Unidad II
Seguridad de la Informacin
Seguridad Lgica
Seguridad en el comercio electrnico. La informacin involucrada en comercio electrnico y que pasa por
redes publicas, debe estar protegida de actividades fraudulentas,disputas contractuales y revelaciones o modificaciones no autorizadas.
-
7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad
19/19
Auditoria Informtica Unidad II
Seguridad de la Informacin
Seguridad Lgica
Seguridad en el correo electrnico. El correo electrnico es provisto por la empresa a los empleados y
terceras partes, para facilitar el desempeo de sus funciones.
La asignacin de esta herramienta de trabajo debe hacerse
considerando una evaluacin de riesgo. El correo es personalizado, es decir no es aceptable la utilizacin
del correo de otra persona, por tanto se asume responsable delenvo al remitente (DE:) y no quien lo firma.
top related