AUDITORIA DE SISTEMAS INGENIERÍA INFORMÁTICA UNICIENCIA

2. Horarios de funcionamiento
Restricciones
Normas
Autorizaciones
Denegaciones
Perfiles de usuario
Planes de emergencia
Protocolos

3. La infraestructura computacional
Objetivos
Los usuarios
La información

4. Usuarios
Programas maliciosos
Errores de programación
Amenazas
Intrusos
Un siniestro (robo, incendio, inundación)
Personal técnico interno
Fallos electrónicos o lógicos
Catástrofes naturales

5. CLASIFICACIÓN DE LOS ATAQUES O AMENAZAS.
• Amenazas por el origen.
Amenazas internas: Entre el 60 y 80 % de los incidentes de red son causados desde dentro de
la misma.
Amenazas externas: Amenazas que se originan fuera de la red (Internet).
• Amenazas por el efecto.
Robo y/o Destrucción de información.
Anulación del funcionamiento de los sistemas o efectos que tiendan a ello.
Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de
información, venta de datos personales, etc.
Robo de dinero, estafas,...
• Amenazas por el medio utilizado.
Virus informático
Phishing o Ingeniería social.
Denegación de servicio.
Spoofing: de DNS, de IP, de DHCP, etc.

6. AMENAZA
Usuarios (Permisos sobredimensionados)
CLASIFICACIÓN
Amenaza por el origen - Interno
Programas maliciosos (Virus, Troyanos
Gusanos)
Amenaza por medio utilizado
Errores de programación
Amenaza por medio utilizado
Intrusos (Hackers – Acceso por internet a
la red Interna de la org.)
Amenaza por el origen - Externo
Un siniestro (robo, incendio, inundación)
Amenaza por el efecto
Personal técnico interno
Amenaza por el origen - Interno
Fallos electrónicos o lógicos
Amenazas por el efecto
Catástrofes naturales (terremotos, rayos,
maremotos, inundaciones)
Amenazas por el efecto
PROTECCIÓN
Asegurar que los usuarios solo
manejen la información que necesitan
para desempeñar sus funciones.
Controlar bloqueos de acceso a la
información y a los módulos. Verificar
con continuidad claves de usuario.
Verificar
con
continuidad
la
originalidad y tiempo de caducidad de
los
antivirus,
la
activación
de
cortafuegos y bloqueos de programas
espía.
Realizar
continuamente
limpiezas.
Obtener todos los programas y todas
las aplicaciones de sitios oficiales.
Ejemplo
Adobe,
Instaladores
de
impresoras.
Verificar con continuidad la activación
de
cortafuegos
y
bloqueos
de
programas espía. Los sistemas de
prevención de intrusos o IPes.
Sistemas
de
seguridad
físicos.
Cámaras, sensores de activación, de
humo.
Puertas
de
contención.
Backups a otras sedes.
Los sistemas de prevención de
intrusos o IPes, y firewalls son
mecanismos
NO
efectivos
en
amenazas, no estan orientados al
tráfico interno.
No la podemos evitar, solo prevenir
con la educación del usuario y con el
código de ética, políticas, manuales
de funcionario o reglamento interno
de trabajo. También con un contrato
legal donde especifique las leyes que
cubre este tipo de amenazas y sus
consecuencias legales.
Mantenimiento preventivo de equipos
informáticos e instalaciones eléctricas
de la organización. Sistemas de
apantallamiento, UPS y reguladores
de energía, puestas a tierra etc.
No se puede tener una solución o
protección para este tipo de amenaza.
Solo tener copias de la información en
diferentes lugares de la organización.

7. El Phishing
¿Qué es el Phishing?
El "phishing" es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus
datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Resumiendo
"todos los datos posibles" para luego ser usados de forma fraudulenta.
¿En qué consiste?
Se puede resumir de forma fácil, engañando al posible estafado, "suplantando la imagen de
una empresa o entidad pública", de esta manera hacen "creer" a la posible víctima que
realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es.
¿Cómo lo realizan?
El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono móvil,
una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más
usada y conocida por los internautas, la recepción de un correo electrónico.

9. El Spoofing
Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de
suplantación de identidad generalmente con usos maliciosos o de investigación, en función
de la tecnología utilizada.
Entre ellos tenemos
IP spoofing (quizás el más conocido)
ARP spoofing
DNS spoofing
Web spoofing
Email spoofing
GPS spoofing
Aunque en general se puede englobar dentro de spoofing cualquier tecnología de red
susceptible de sufrir suplantaciones de identidad.

10. La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo,
para posteriormente implementar mecanismos que permitan controlarlo.
En su forma general contiene cuatro fases

11. EL Análisis de Riesgo incluye las siguientes actividades y acciones:
1. Identificación de los activos vulnerables e importantes.
2. Valoración de los activos identificados: Teniendo en cuenta los requisitos legales y el
impacto de una pérdida de confidencialidad, integridad y disponibilidad.
3. Identificación de riesgo, amenazas y vulnerabilidades importantes para los activos
identificados.
4. Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
5. Cálculo del riesgo.
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a las
amenazas y riesgos que se identificaron. Las acciones pueden ser:
1. Controlar el riesgo - Fortalecer los controles existentes y/o agregar nuevos controles.
2. Compartir el riesgo - Mediante socializaciones y manuales.
3. Aceptar el riesgo - Se determina que el nivel de exposición es adecuado y por lo tanto
se acepta.
4. Eliminar el riesgo – si es posible.

12. Clasificación de Riesgo.
Involucra directamente a la información o los datos que se manejan. La clasificación de
datos tiene el propósito de garantizar la protección de datos y significa definir, dependiendo
del tipo o grupo de personas internas y externas, los diferentes niveles de autorización de
acceso a los datos e informaciones.

13. Reducción de Riesgo
La reducción de riesgo se logra a través de la implementación de Medidas de protección,
basados en los resultados del análisis y de la clasificación de riesgo, además implementa la
socialización y capacitación a los usuarios conforme a las medidas.

14. MATRIZ PARA EL ANÁLISIS DE RIESGO
La Matriz para el Análisis de Riesgo, es una Herramienta para analizar y determinar los
riesgos en el manejo de los datos e información de las organizaciones. La Matriz no nos
dará un resultado detallado sobre los riesgos y peligros de cada recurso (elemento de
información) de la institución, sino una mirada aproximada y generalizada de estos.
http://protejete.wordpress.com/descargas/

15. MATRIZ PARA EL ANÁLISIS DE RIESGO
formula Riesgo = Probabilidad de Amenaza x Magnitud de Daño
La Probabilidad de Amenaza y Magnitud de Daño pueden tomar los valores y condiciones
respectivamente
1 = Insignificante (incluido Ninguna)
2 = Baja
3 = Mediana
4 = Alta
El Riesgo se agrupa en tres rangos y se
aplica en tres diferentes colores.
Bajo Riesgo = 1 – 6 (verde)
Medio Riesgo = 8 – 9 (amarillo)
Alto Riesgo = 12 – 16 (rojo)

16. Alimentación de la Matriz
La Matriz contiene una colección de diferentes Amenazas (campos verdes) y Elementos de
información (campos rojos). Para llenar la Matriz, tenemos que estimar los valores de la
Probabilidad de Amenaza (campos azules) por cada Amenaza y la Magnitud de Daño
(campos amarillas) por cada Elemento de Información.

17. Ejemplo: existe una gran probabilidad que roben documentos y equipos en la oficina, porque
ya entraron varias veces y no se cuenta todavía con una buena vigilancia nocturna de la
oficina, alarmas o empresas de seguridad, entonces se tiene una gran probabilidad en este
momento de que se genere más robos y la probabilidad de robar los portátiles con
información importante de datos especiales de la empresa o se pueden robar un documento
que está encerrado en un archivador con llave también con datos importantes de la oficina (es
menos probable que se van a llevar este documento).