Post on 06-Dec-2015
description
UNIVERSIDAD TECNOLÓGICA DE CANDELARIA
INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN
CUATRIMESTRE: 10º GRUPO: A
MATERIA: AUDITORIA DE SISTEMAS DE TI
DOCENTE: ING. ISAÍAS ARA HERNÁNDEZ
EXPOSICIÓN:EVALUACIÓN DE LA SEGURIDAD
INTEGRANTES:IRMA BOCANEGRA PÉREZ
ALEJANDRA GUZMÁN CHANNELSON DAMIAN ASTORGA SAAVEDRA
NOEMI MORALES SÁNCHEZ
EQUIPO: #2
Evaluación de la Seguridad
Para realizar una evaluación de la Seguridad, es importante conocer
cómo desarrollar y ejecutar la implantación de un Sistema de Seguridad.
Desarrollar un Sistema de Seguridad implica: planear, organizar,
coordinar dirigir y controlar las actividades relacionadas a mantener y
garantizar la integridad física de los recursos implicados en la función
informática, así como el resguardo de los activos de la empresa.
Modelos de Seguridad
Un modelo de seguridad es la presentación formal de una política de
seguridad. El modelo debe identificar el conjunto de reglas y prácticas
que regulan cómo un sistema maneja, protege y distribuye información
delicada.
Los modelos se clasifican en:
Modelo abstracto: se ocupa de las entidades abstractas como sujetos y
objetos.
Modelo concreto: traduce las entidades abstractas en entidades de un
sistema real como procesos y archivos.
Los modelos sirven a tres propósitos en la seguridad informática:
Proveer un sistema que ayude a comprender los diferentes conceptos.
Los modelos diseñados para este propósito usan diagramas, analogías,
cartas. Un ejemplo es la matriz de acceso.
Proveer una representación de una política general de seguridad formal
clara.
Expresar la política exigida por un sistema de cómputo específico.
Identificar las aéreas y fases que pueda cubrir la auditoria de la seguridad
Anti-spyware, antivirus, llaves para protección de software, etc.
Mantener los sistemas de información (sistemas operativos y programas)
con las actualizaciones que más impacten en la Seguridad
Definir las necesidades de Sistemas de Seguridad para hardware y
software
Flujo de energía
Cableados locales y externos
Aplicación de los Sistemas de Seguridad, incluyendo datos y
archivos
Planificación de los papeles de los Auditores internos y externos
Planificación de programas de contingencia o recuperación de
desastre y sus respectivas pruebas (Simulación)
Planificación de Pruebas al Plan de Contingencia con carácter
periódico
Política de Destrucción de basura, copias, fotocopias, discos
duros, etc.
Dentro de las áreas generales, se establecen las siguientes
divisiones de Auditoría Informática: de Explotación, de Sistemas,
de Comunicaciones y de Desarrollo de Proyectos. Estas son las
áreas Especificas de la Auditoría Informática más importantes.
Definir la auditoria de seguridad física lógica de los datos
La seguridad física garantiza la integridad de los activos
humanos, lógicos y materiales.
La auditoría física no se debe limitar a comprobar la
existencia de los medios físicos, sino también su
funcionalidad, racionalidad y seguridad.
Existen tres tipos de seguridad:
Seguridad lógica.
Seguridad física.
Seguridad de las comunicaciones.
Seguridad lógica
La seguridad lógica aplica mecanismos y barreras que mantengan a salvo la
información de la organización desde su propio medio :
Se limita el acceso a determinados aplicaciones, programas o archivos mediante claves
o a través de la criptografía.
Se otorgan los privilegios mínimos a los usuarios del sistema informático. Es decir, sólo
se conceden los privilegios que el personal necesita para desempeñar su actividad.
Cerciorarse de los archivos, las aplicaciones y programas que se utilizan en la
compañía se adaptan a las necesidades y se usan de manera adecuada por los
empleados.
Controlar que la información que entra o sale de la empresa es íntegra y sólo esta
disponible para los usuarios autorizados.
Seguridad física
Aplicación de barreras físicas y procedimientos para proteger
a la compañía de ataques físicos en los equipos,
documentación, instalaciones, personal, etc.
Fases de la Auditoria
Alcance de la Auditoría
Adquisición de Información General
Administración y Planificación
Plan de Auditoría
Resultado de las Pruebas
Conclusiones y Comentarios
Borrador de Informe
Discusión con los Responsables de Área
Informe Final