Sia i cap10
-
Upload
carlos-gonzalez -
Category
Education
-
view
447 -
download
2
description
Transcript of Sia i cap10
Controles Generales o de Integridad
Son procedimientos diseñados para asegurar que los programas computacionales funcionan adecuadamente.
Que las modificaciones a programas y datos son debidamente autorizados, y que su administración contribuye a lograr los objetivos y la misión de la empresa.
Objetivos de los Controles Generales o de Integridad
Preservar los atributos de la información
Brindar apoyo competitivo
Mantener la continuidad y consistencia
Apoyar la eficiencia operativa
Mantener una cultura informática adecuada
Apoyar la protección del Patrimonio
Emplear los recursos TI adecuadamente
CPD: centro de procesamiento de datos Objetivo:
Apoyar a todas las demás funciones de la empresa u organización, para que logren los objetivos fijados por la Gerencia, usando la Tecnología Informática.
Organización:
Formal Informal
Funciones o Actividades del C.P.D.
Desarrollo Mantención Control de Calidad Operaciones Explotación Ingreso de Datos
Organización
Los Controles de Organización se refieren a la segregación de funciones y a la responsabilidad por el control.
Están diseñados para asegurar que la organización del C.P.D., su Hardware, su Software y sus Recursos Humanos están al servicio de la empresa y tienen la debida protección.
Organización
Segregación: Se debe mantener la separación de los usuarios que autorizan una transacción, de aquellos que la ejecutan y/o la registran; de los que crean programas computaciones (aplicaciones) de aquellos que operan dichos sistemas, como de los que ejecutan los mismos.
Segregación
Se trata entonces de evitar la concentración de funciones en una sola persona, disminuyendo el riesgo que ello significa.
En los sistemas manuales, el control por segregación consiste en separar las cuatros funciones primarias a saber:
Autorización
Ejecución
Registro
Mantenimiento
Segregación
Los Sistemas Computacionales ejecutan las funciones de autorización, ejecución y registro simultaneamente, lo que incide en buscar alternativas de control que permitan compensar la ausencia de la segregación de funciones.
Responsabilidad del Control
Cada usuario debe tener muy claro de la autoridad que le ha sido delegada y la responsabilidad que ésto conlleva.
Esto significa que la responsabilidad de un usuario, de un Jefe de Proyecto, de un Analista, de un Programador y/o de un Oficial de Seguridad, deben estar muy claras, para evitar errores, irregularidades y cualquier atentado contra la empresa.
No olvidarse que la responsabilidad no se delega.
Hardware
Se debe tener control sobre los siguientes aspectos del Hardware:
Acceso Físico:
Debe existir protección al acceso a la sala donde funciona el equipo computacional y sus periféricos. Esto es válido para el hardware en poder de los usuarios.
Hardware
Registro de Mantenimiento:
El Hardware cada vez es más confiable, pero debe tener un mantenimiento preventivo que debe realizarse con cierta frecuencia. Para ello es conveniente llevar una bitácora de mantenimiento, donde se registre cada reparación o acción preventiva, pudiendo con ello determinar frecuencia de errores y corrección de la prevención.
Hardware
Medio Ambiente:
A pesar que el hardware está más protegido, no debe descuidarse el polvo del medio ambiente, los niveles de humedad y las fluctuaciones en la temperatura ambiental.
Protección de Energía:
La fuente de energía debe estar protegida a las variaciones y a los cortes accidentales con estabilizadores y UPS.
Las variaciones sobre el 10% del voltaje por ejemplo, puede causar errores de procesamiento e inclusive dañar la CPU, la Memoria y/o los circuitos integrados.
Implementación
Están diseñados para asegurar que los procedimientos programados son:
Una respuesta a una idea o una solución a un problema, de acuerdo a procedimientos preestablecidos.
Adecuados a los requerimientos de la empresa y de los usuarios.
Se construyen con una metodología adecuada y son debidamente documentados.
Adecuadamente implementados.Autorizadas las modificaciones a programas en
operaciones, cumpliéndose los objetivos precitados.
Implementación
Se clasifican en: Necesidad del sistema.
Desarrollo del sistema.
Mantención del sistema.
Necesidad del sistema
Procedimiento de inicio de un sistema
Estudio de Factibilidad
Informe Comité de Informática
Desarrollo del sistema
Análisis y Diseño
Construcción (prueba de programas)
Implementación (Catalogación y prueba paralela).
Mantención del sistema
Procedimiento de Modificación de un Sistema
Procedimiento de Emergencia (fuera de horario)
Seguridad del sistema
Están diseñados para asegurar que: Cambios no autorizados puedan ser hechos a programas en explotación ni a sus datos.
Exista un procedimiento para autorizar las modificaciones a los programas.
Programas y datos en línea, deben estar pro- tegidos contra modificaciones no autorizadas.
Programas y datos fuera de línea, deben además estar custodiados físicamente.
Operación del computador Están diseñados para asegurar que:
Los sistemas funcionan continuamente en forma consistente.
Las operaciones se realizan de acuerdo a lo planeado.
Los datos utilizados son los apropiados.
La continuidad de las operaciones está asegurada. (Recuperación y Respaldos)
Custodia física de programas y datos
Planificación y Preparación de los trabajos
Los programas y datos a utilizar, deben estar definidos por los usuarios (Planificación)
Operaciones debe poner a disposición de los usuarios los programas y los datos de acuerdo a lo planificado.
Deben existir procedimientos para evitar el uso de archivos y tablas no adecuadas.
Programas de Operación y Operación del computador
Uso del los lenguajes de control de tareas para automatizar la operación del computador y disminuir los errores en los procesos.
Procedimientos de Recuperación y Respaldos
Facilidades para recomenzar un proceso en el punto de interrupción.
Sistemas de Respaldos (Backup) de acuerdo a la dependencia de la T.I.
Plan de Contingencias y Recuperación de Desastres.
SEGURIDAD DE COMUNICACIONES
Están diseñados para asegurar que: El acceso a los sistemas se hace por personas autorizadas. Confidencialidad
Autenticidad
Integridad
Garantía de No repudio o rechazo (negar que cierta transacción tuvo lugar)
Cualquier acceso no autorizado es detectado, como las modificaciones no autorizadas.
Funcionamiento
Consideraciones a tener presente:
Alicia y Beto debe convenir en un algoritmo a usar en sus comunicaciones.
Alicia y Beto deben compartir en forma segura la llave:
Usando un medio de transporte físico privado
Usando algun otro medio seguro Ventajas de este método:
Es relativamente simple
Desde el punto de vista técnico es eficiente.
Ejemplos de Algoritmos
Ejemplo de Algoritmos:
DES (Data Encryption Standard)
Tamaño de llave: 40 y 56 bits
Triple DES
Tamaño de llave: 112 a 168 bitsMayor seguridad que DES
Blowfish
Tamaño de llaves de 32 a 448 bits Requiere pocos recursosMuy rápido
Ejemplos de Algoritmos
IDEA (International Data Encription Algorithm)
Tamaño de llaves: 128 bitsRequiere mucho procesamiento
RC5
Tamaño de llave: hasta 255 caracteresRequiere pocos recursos, pero es lento.Configuración flexible por parámetros
CAST-128
Tamaño llave: entre 5 y 15 caracteresAlgoritmo extensamente revisado por criptoanalistas
RC2
Tamaño llave de 8 a 1024 bitsUsado en microprocesadores de 16 bits
Funcionamiento
Criptografía asimétrica
Son algoritmos que utilizan llaves diferentes (relacionadas entre si), para realizar la encriptación y desencriptación. Esta metodología se usa normalmente para la firma digital, como también para el intercambio de llave simétrica. Estas llaves se les conoce como: Llave Pública
Llave Privada
Criptografía asimétrica
Características del Sistema Mensaje encriptado con la llave pública, la llave privada lo desencripta y viceversa.
La seguridad se basa en la imposibilidad de calcular una llave, a partir de la otra.
También se basa la seguridad, en mantener la llave privada como “secreta” (personal), y de mantener la relación con la llave pública en forma confiable.
Criptografía asimétrica
Propiedad de las llaves: Los pares de llaves son identificados o asociados con personas o con entidades.
La propiedad de las llaves públicas, es publicada y conocida por todos aquellos que les incumbe el mensaje.
La llave privada es “secreta” y debe quedar bajo la responsabilidad del dueño o responsable del mensaje.
Ejemplos algoritmos
Ejemplos de Algoritmos Asimétricos: RSA Es uno de los algoritmos más usados, transformándose en el estándar de facto para la firma digital.
DSS (Digital Signature Standard) Se usa sólo para firma digital
Ejemplos algoritmos
ECC (Elliptic Curve Cryptosystem) Matemáticamente más complicado que RSA
Similar nivel de seguridad
Necesita menos procesamiento a igual tamaño de claves que RSA.
Algunas Consideraciones: Las llaves son típicamente números primos de 1024 bits o superiores.
A mayor tamaño de llaves, sistema más seguro.
Los procesos de Encriptado y Desencriptado, involucran cálculos exponenciales con las llaves, limitando la funcionalidad del sistema por su lentitud.
Firma digital
Permite verificar el origen y la integridad del mensaje recibido. Permite asegurar que el mensaje recibido, proviene del emisor, quién no podrá negar su autoría => “NO REPUDIO” El NO REPUDIO pasa a ser un objetivo de la combinación de criptografía y firma digital
Sistema operativo
Control de Administración de la Seguridad
Establecer Objetivos de Seguridad Evaluar los riesgos de Seguridad Oficial de Seguridad
Perfil de Usuario
Control de Identificación Control de Autenticidad Control de Acceso de Terminales y/o Externo
Monitoreo Sistema Seguridad
Registro de las Operaciones (LOG) Programas Ad-Hoc de Seguridad Activa