4. Controles Generales o de Integridad
Son procedimientos diseñados para asegurar que los
programas computacionales funcionan adecuadamente.
Que las modificaciones a programas y datos son
debidamente autorizados, y que su administración
contribuye a lograr los objetivos y la misión de la
empresa.
5. Objetivos de los Controles Generales
o de Integridad
Preservar los atributos de la información
Brindar apoyo competitivo
Mantener la continuidad y consistencia
Apoyar la eficiencia operativa
Mantener una cultura informática adecuada
Apoyar la protección del Patrimonio
Emplear los recursos TI adecuadamente
6. CPD: centro de procesamiento de
datos
Objetivo:
Apoyar a todas las demás funciones de la empresa u organización, para
que logren los objetivos fijados por la Gerencia, usando la Tecnología
Informática.
Organización:
Formal
Informal
Funciones o Actividades del C.P.D.
Desarrollo
Mantención
Control de Calidad
Operaciones
Explotación
Ingreso de Datos
14. Organización
Los Controles de Organización se refieren a la
segregación de funciones y a la responsabilidad por el
control.
Están diseñados para asegurar que la organización del
C.P.D., su Hardware, su Software y sus Recursos
Humanos están al servicio de la empresa y tienen la
debida protección.
15. Organización
Segregación: Se debe mantener la separación de los
usuarios que autorizan una transacción, de aquellos que
la ejecutan y/o la registran; de los que crean programas
computaciones (aplicaciones) de aquellos que operan
dichos sistemas, como de los que ejecutan los mismos.
16. Segregación
Se trata entonces de evitar la concentración de funciones en
una sola persona, disminuyendo el riesgo que ello significa.
En los sistemas manuales, el control por segregación
consiste en separar las cuatros funciones primarias a saber:
Autorización
Ejecución
Registro
Mantenimiento
17. Segregación
Los Sistemas Computacionales ejecutan las funciones de
autorización, ejecución y registro simultaneamente, lo
que incide en buscar alternativas de control que
permitan compensar la ausencia de la segregación de
funciones.
18. Responsabilidad del Control
Cada usuario debe tener muy claro de la autoridad que le ha sido
delegada y la responsabilidad que ésto conlleva.
Esto significa que la responsabilidad de un usuario, de un Jefe de
Proyecto, de un Analista, de un Programador y/o de un Oficial de
Seguridad, deben estar muy claras, para evitar errores,
irregularidades y cualquier atentado contra la empresa.
No olvidarse que la responsabilidad no se delega.
19. Hardware
Se debe tener control sobre los siguientes aspectos del
Hardware:
Acceso Físico:
Debe existir protección al acceso a la sala donde
funciona el equipo computacional y sus periféricos. Esto
es válido para el hardware en poder de los usuarios.
20. Hardware
Registro de Mantenimiento:
El Hardware cada vez es más confiable, pero debe tener
un mantenimiento preventivo que debe realizarse con
cierta frecuencia. Para ello es conveniente llevar una
bitácora de mantenimiento, donde se registre cada
reparación o acción preventiva, pudiendo con ello
determinar frecuencia de errores y corrección de la
prevención.
21. Hardware
Medio Ambiente:
A pesar que el hardware está más protegido, no debe descuidarse el
polvo del medio ambiente, los niveles de humedad y las
fluctuaciones en la temperatura ambiental.
Protección de Energía:
La fuente de energía debe estar protegida a las variaciones y a los
cortes accidentales con estabilizadores y UPS.
Las variaciones sobre el 10% del voltaje por ejemplo, puede causar
errores de procesamiento e inclusive dañar la CPU, la Memoria y/o
los circuitos integrados.
22. Implementación
Están diseñados para asegurar que los procedimientos programados
son:
Una respuesta a una idea o una
solución a un problema, de acuerdo a
procedimientos preestablecidos.
Adecuados a los requerimientos de la
empresa y de los usuarios.
Se construyen con una metodología
adecuada y son debidamente
documentados.
Adecuadamente implementados.
Autorizadas las modificaciones a
programas en operaciones,
cumpliéndose los objetivos precitados.
24. Necesidad del sistema
Procedimiento de inicio de un sistema
Estudio de Factibilidad
Informe Comité de Informática
25. Desarrollo del sistema
Análisis y Diseño
Construcción (prueba de programas)
Implementación (Catalogación y prueba paralela).
26. Mantención del sistema
Procedimiento de Modificación de un Sistema
Procedimiento de Emergencia (fuera de horario)
27. Seguridad del sistema
Están diseñados para asegurar que: Cambios no
autorizados puedan ser hechos a programas en explotación
ni a sus datos.
Exista un procedimiento para autorizar las modificaciones a
los programas.
Programas y datos en línea, deben estar pro- tegidos contra
modificaciones no autorizadas.
Programas y datos fuera de línea, deben además estar
custodiados físicamente.
28. Están diseñados para asegurar que:
Operación del computador
Los sistemas funcionan
continuamente en forma
consistente.
Las operaciones se realizan de
acuerdo a lo planeado.
Los datos utilizados son los
apropiados.
La continuidad de las operaciones
está asegurada. (Recuperación y
Respaldos)
Custodia física de programas y
datos
29. Planificación y Preparación de los
trabajos
Los programas y datos a utilizar, deben estar definidos
por los usuarios (Planificación)
Operaciones debe poner a disposición de los usuarios los
programas y los datos de acuerdo a lo planificado.
Deben existir procedimientos para evitar el uso de
archivos y tablas no adecuadas.
30. Programas de Operación y Operación
del computador
Uso del los lenguajes de control de tareas para
automatizar la operación del computador y disminuir los
errores en los procesos.
31. Procedimientos de Recuperación y
Respaldos
Facilidades para recomenzar un proceso en el punto de
interrupción.
Sistemas de Respaldos (Backup) de acuerdo a la
dependencia de la T.I.
Plan de Contingencias y Recuperación de Desastres.
33. SEGURIDAD DE COMUNICACIONES
Están diseñados para asegurar que: El acceso a los
sistemas se hace por personas autorizadas.
Confidencialidad
Autenticidad
Integridad
Garantía de No repudio o rechazo (negar que cierta
transacción tuvo lugar)
Cualquier acceso no autorizado es detectado, como las
modificaciones no autorizadas.
39. Funcionamiento
Consideraciones a tener presente:
Alicia y Beto debe convenir en un algoritmo a usar en sus
comunicaciones.
Alicia y Beto deben compartir en forma segura la llave:
Usando un medio de transporte físico
privado
Usando algun otro medio seguro
Ventajas de este método:
Es relativamente simple
Desde el punto de vista técnico es eficiente.
40. Ejemplos de Algoritmos
Ejemplo de Algoritmos:
DES (Data Encryption Standard)
Tamaño de llave: 40 y 56 bits
Triple DES
Tamaño de llave: 112 a 168 bits
Mayor seguridad que DES
Blowfish
Tamaño de llaves de 32 a 448 bits
Requiere pocos recursos
Muy rápido
41. Ejemplos de Encription Algorithm)
IDEA (International Data Algoritmos
Tamaño de llaves: 128 bits
Requiere mucho procesamiento
RC5
Tamaño de llave: hasta 255 caracteres
Requiere pocos recursos, pero es lento.
Configuración flexible por parámetros
CAST-128
Tamaño llave: entre 5 y 15 caracteres
Algoritmo extensamente revisado por
criptoanalistas
RC2
Tamaño llave de 8 a 1024 bits
Usado en microprocesadores de 16 bits
42. Funcionamiento
Criptografía asimétrica
Son algoritmos que utilizan llaves diferentes
(relacionadas entre si), para realizar la encriptación y
desencriptación. Esta metodología se usa normalmente
para la firma digital, como también para el intercambio
de llave simétrica. Estas llaves se les conoce como:
Llave Pública
Llave Privada
43. Criptografía asimétrica
Características del Sistema Mensaje encriptado con la
llave pública, la llave privada lo desencripta y viceversa.
La seguridad se basa en la imposibilidad de calcular una
llave, a partir de la otra.
También se basa la seguridad, en mantener la llave
privada como “secreta” (personal), y de mantener la
relación con la llave pública en forma confiable.
44. Criptografía asimétrica
Propiedad de las llaves: Los pares de llaves son
identificados o asociados con personas o con entidades.
La propiedad de las llaves públicas, es publicada y
conocida por todos aquellos que les incumbe el mensaje.
La llave privada es “secreta” y debe quedar bajo la
responsabilidad del dueño o responsable del mensaje.
48. Ejemplos algoritmos
Ejemplos de Algoritmos Asimétricos: RSA Es uno de los
algoritmos más usados, transformándose en el estándar
de facto para la firma digital.
DSS (Digital Signature Standard) Se usa sólo para firma
digital
49. Ejemplos algoritmos
ECC (Elliptic Curve Cryptosystem) Matemáticamente más
complicado que RSA
Similar nivel de seguridad
Necesita menos procesamiento a igual tamaño de claves que RSA.
Algunas Consideraciones: Las llaves son típicamente números
primos de 1024 bits o superiores.
A mayor tamaño de llaves, sistema más seguro.
Los procesos de Encriptado y Desencriptado, involucran cálculos
exponenciales con las llaves, limitando la funcionalidad del sistema
por su lentitud.
51. Firma digital
Permite verificar el origen y la integridad del mensaje
recibido. Permite asegurar que el mensaje recibido,
proviene del emisor, quién no podrá negar su autoría =>
“NO REPUDIO” El NO REPUDIO pasa a ser un objetivo de
la combinación de criptografía y firma digital
52. Sistema operativo
Control de Administración de la Seguridad
Establecer Objetivos de Seguridad
Evaluar los riesgos de Seguridad
Oficial de Seguridad
Perfil de Usuario
Control de Identificación
Control de Autenticidad
Control de Acceso de Terminales y/o Externo
Monitoreo Sistema Seguridad
Registro de las Operaciones (LOG)
Programas Ad-Hoc de Seguridad Activa