Bienvenidos

UNIVERSIDAD DE ORIENTENÚCLEO MONAGAS

DEPARTAMENTO DE INGENIERÍA DE SISTEMASAPLICACIÓN Y AUDITORIA DE SISTEMAS DE INFORMACIÓN

Seguridad en la Auditoría

Vásquez, José

Paris, Iliana

Gil, Argenis

Contreras. Miguel

Carvajal, Argenis

Realizado por:Profesora:

Vivenes, Nelsy

Maturín, Enero de 2015 Villarroel, Zainer

Seguridad Informática

Villarroel, Zainer

Es un estado de cualquier sistema (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. 

Disponibilidad.

Confidencialidad. Integridad.

Villarroel, Zainer

Irrefutabilidad

Para que un Sistema se considere como seguro tiene que poseer:

Villarroel, Zainer

Términos que se toman en cuenta al momento de hablar de seguridad informática: 

 Activo.

Amenaza.

 Impacto.

 Riesgo.

 Vulnerabilidad.

 Ataque.

 Desastre o Contingencia.

Énfasis en la revisión, evaluación y elaboración de un informe

La actividad dirigida a verificar y juzgar información.

La revisión y la evaluación de los controles, sistemas, procedimientos de informática; de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

Paris, Iliana

Auditoria de Sistemas

Paris, Iliana

Estudio, Análisis y Gestión

Identificar, Enumerar y Describir

Vulnerabilidades en las estaciones

de trabajo

Auditoria de Seguridad de Sistemas de Información

Paris, Iliana

Enumeración de redes, topologías y protocolos

Verificación del Cumplimiento de los estándares internacionales

Identificación de los sistemas operativos instalados

Análisis de servicios y aplicaciones

Detección, comprobación y evaluación de vulnerabilidades

Medidas específicas de corrección

Recomendaciones sobre implantación de medidas preventivas.

Fases de una Auditoria de Seguridad

Paris, Iliana

Auditoría de Seguridad Interna

Auditoria de Seguridad Perimetral

Test de Intrusión

Análisis Forense

Auditoria de Página Web

Auditoria de Código de Aplicación

Tipos de auditoria de Seguridad

Carvajal, Argenis

Seguridad lógica y confidencialidad

¿Qué es?

Carvajal, Argenis

La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a la organización:

Entrada de virus.

Cambio de los datos antes o cuando se le da entrada a la computadora.

Copias de programas y /o información.

Código oculto en un programa.

Carvajal, Argenis

Objetivos principales de la seguridad lógica y confidencial, son los siguientes:

Integridad.

Disponibilidad.

Evitar el rechazo.

Autentificación.

Confidencialidad.

Carvajal, Argenis

Encriptamiento.

Áreas de la seguridad lógica:

Rutas de acceso.

Claves de acceso.

Software de control de accesos.

Carvajal, Argenis

¿Que se ha hecho para un caso de emergencia? las medidas preventivas que se deben tomar, así como las correctivas en caso de desastre señalándole a cada uno su prioridad.

¿Como realizar la auditoria de la seguridad lógica?

Se debe:

Clasificar la instalación en términos de riesgo.

Identificar aquellas aplicaciones que tengan un alto riesgo.

Identificar aquellas aplicaciones que tengan un alto riesgo.

Cuantificar el impacto en el caso de suspensión del servicio en aquellas aplicaciones con un alto riesgo.

Y para la justificación del costo hay que preguntarse:

¿Qué sucedería si no se puede usar el sistema?

¿Qué implicaciones tiene el que no se obtenga el sistema y cuánto tiempo podríamos estar sin utilizarlo?

¿Existe un procedimiento alterno y que problemas nos ocasionaría?

Estimación De Riesgos

La estimación de riesgos describe cómo estudiar los riesgos dentro de la planeación general del entorno informático y se divide en los siguientes pasos:

La identificación de riesgos.

Contreras. Miguel

El análisis de riesgos.

La asignación de prioridades a los riesgos.

Contreras. Miguel

Encriptamiento

¿Qué es?

Seguridad DEL personal.

Gil, Argenis

Este acceso puede tomar muchas formas, como el uso de la cuenta de otro usuario para tener acceso a la red y sus recursos. En general, se considera que el uso de cualquier recurso de la red sin permiso previo es un acceso no autorizado. En algunos sitios, el solo hecho de conceder acceso a un usuario no autorizado puede causar daños irreparables por la cobertura negativa de los medios.

Definición del acceso no autorizado:

Gil, Argenis

La revelación de información, ya sea voluntaria o involuntaria, es otro tipo de amenaza.Para muchas organizaciones, un vistazo, a una propuesta o un proyecto de investigación que represente muchos años de trabajo puede darle a su competidor una ventaja injusta.

Riesgo de revelación de información.

Gil, Argenis

También debe tomar en cuenta una clase llamada usuarios externos esta se compone de los usuarios que tengan acceso a su red desde otras partes, como estaciones de trabajo autónomas y otras redes; pueden no ser empleados, o bien, pueden ser empleados que tengan acceso a la red desde sus hogares o durante un viaje.

Identificación de quien está autorizado para usar los recursos de la red:

Debe hacerse una lista de los usuarios que necesitan acceso a los recursos de la red. La mayoría de estos pueden dividirse en grupos como:

Usuarios de contabilidad.

Abogados corporativos.

Ingenieros, entre otros.

Una vez determinados los usuarios autorizados a tener acceso a los recursos de la red, usted debe establecer los lineamientos del uso aceptable de dichos recursos. Los lineamientos dependen de la clase de usuarios, como desarrolladores de software, estudiantes, profesores, usuarios externos, entre otros . Debe tener lineamientos aparte para cada clase. La política debe establecer qué tipo de uso es aceptable y cual es inaceptable, así como que tipo de uso está restringido.

Identificación del uso adecuado de los recursos:

Gil, Argenis

La siguiente es una lista de los aspectos que usted puede abordar respecto de las responsabilidades de los usuarios:1. Lineamientos acerca del uso de los recursos de red, tales como que los usuarios estén restringidos.2. Que constituye un abuso en términos de usar recursos de red y afectar el desempeño del sistema y de la red.3. Esta permitido que los usuarios compartan cuentas o permitan a otros usar la suya.4. Pueden los usuarios revelar su contraseña en forma temporal, para permitir que otros que trabajen en un proyecto tengan acceso a sus cuentas.5. Política de contraseña de usuario: con qué frecuencia deben cambiar de contraseña los usuarios y que otras restricciones o requerimientos hay al respecto.6. Los usuarios son responsables de hacer respaldos de sus datos o es esto responsabilidad del administrador del sistema.7. Consecuencias para los usuarios que divulguen información que pueda estar patentada.8. Una declaración sobre la privacidad del correo electrónico (Ley de Privacidad en lasComunicaciones Electrónicas).9. Una política respecto a correo o publicaciones controversiales en las listas de correo o grupos de discusión.10. Una política sobre comunicaciones electrónicas, tales como falsificación de correo.

Determinación de las responsabilidades del usuario:

Gil, Argenis

Disponibilidad.

Privacidad: Un ejemplo de ataque a la privacidad es la divulgación de información confidencial.

La seguridad informática debe vigilar principalmente las siguientes propiedades:

Integridad: Un ejemplo de ataque a la integridad es la modificación no autorizada de saldos en un sistema bancario o de calificaciones en un sistema escolar.

Vásquez, José

Seguridad en un centro de cómputo

Vásquez, José

Para simplificar, es posible dividir las tareas de administración de seguridad en tres grandes rublos. Estos son:

1. Autenticación. 2. Autorización.

3. Auditoría.

División de las áreas de administración de la seguridad:

Vásquez, José

Una de las partes más importantes dentro de la planeación de la auditoria en informática es el personal que deberá participar y sus características.

Personal participante:

Conocimientos de los sistemas más importantes.

Poseer suficiente nivel para poder coordinar el desarrollo de la auditoria.

El personal que intervengan debe estar debidamente capacitado.

Debe tener alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.

Para completar el grupo, como colaboradores directos en la realización de la auditoria se debe tener personas con las siguientes características:

Técnico en informática.

Experiencia en el área de informática.

Experiencia en operación y análisis de sistemas.

Vásquez, José

ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN

ISO/IEC 27000-series: La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI).

COBIT: Objetivos de Control para la información y Tecnologías relacionadas (COBIT, en es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoria y Control de Sistemas de Información, (ISACA) y el Instituto de Administración de las Tecnologías de la Información (ITGI, en inglés: IT Governance Institute) en 1992.

ITIL: La Information Technology Infrastructure Library ("Biblioteca de Infraestructura de Tecnologías de Información"), frecuentemente abreviada ITIL, es un marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad.

Gracias por su atención!