SlideShare una empresa de Scribd logo

A3APSeguridad_soft_vision

UTZAC Unidad Académica de Pinos
UTZAC Unidad Académica de Pinos

Auditoria en seguridad

Software
1 de 25
Descargar para leer sin conexión
UNIVERSIDAD TECNOLÓGICA DEL ESTADO DE ZACATECAS UNIDAD ACADÉMICA DE PINOS ADMINISTRACIÓN DE LA FUNCIÓN INFORMÁTICA IDS. LUCIA GONZÁLEZ HERNÁNDEZ AUDITORIA INFORMÁTICA EDGAR SAMUEL RAMÍREZ MATA CRUZ ENRIQUE RODRÍGUEZ MIRELES PINOS ZAC, 22 de agosto 2014 SoftVISION
Objetivo Crear nuevo software y juegos para adquirir habilidades en el ámbito educativo de una forma dinámica y divertida para los usuarios e implementarlos en distintas plataformas. Misión Crear e implementar aplicaciones competitivas e innovadoras para ser distribuidas en las comunidades educativas y así agilizar el aprendizaje de los usuarios. Visión Ser una organización con un gran impacto en sus productos a nivel mundial y así asegurar el crecimiento de la empresa así como su permanencia en el mercado del software. DIRECTOR SUBDIRECTOR JEFE ADMINISTRATIVO RECURSOS HUMANOS RECURSOS TECNOLOGICOS RECURSOS FINANCIEROS DESARROLLO DE SOFTWARE JEFE DE PERSONAL ABOGADO JEFE DE RECURSOS LABORATORISTA CONTADOR ADMINISTRADOR DE PROYECTOS ANALISTAS DISEÑADORES TERTERS DOCUMENTADORES PROGRAMADORES
 Director: Quien dirige toda la empresa.  Subdirector: Ayuda al director a dirigir la empresa y sustituye al mismo en caso de que no asista.  Jefe administrativo: Encargado de organizar todas las actividades que se tengan realizar en la empresa.  Recursos humanos: Lleva todo el control de los empleados.  Jefe de personal: Verifica que todos los empleados realicen su función, además de controlarlos, asignar sus puestos y salarios.  Abogado: Lleva a cabo todos los procesos legales de la organización.  Recursos tecnológicos: Todo el material de software y hardware que los empleados necesitan en los laboratorios.  Jefe de recursos: Asignar el material requerido por los desarrolladores.  Laboratoristas: Le da mantenimiento a los equipos tecnológicos y de redes.  Recursos financieros: Encarga de llevar el control todas las finanzas.  Contador: Administra los recursos monetarios de la empresa y salarios empleados.  Desarrollo de software: Desarrollar los proyectos de software.  Administrador de proyectos: Administra y controla los recursos asignados a un proyecto, con el fin de que se cumplan correctamente los planes definidos.  Diseñadores: Define la arquitectura de hardware y software, componentes, módulos datos
de un sistema cómputo para satisfacer ciertos requerimientos.  Programadores: Escribe, depura y mantiene el código fuente de un programa informático, es decir, del conjunto de instrucciones que ejecuta el hardware una computadora para realizar una tarea determinada.  Tester: Detecta la mayor cantidad de fallas severas (incidentes alto impacto) con el mínimo esfuerzo, antes de que el software salga a producción.  Documentadores: Realiza toda la documentación que se debe de entregar una vez que un proyecto o desarrollo se termine. Objetivos de la seguridad informática:  Los activos son los elementos que la seguridad informática tiene como objetivo proteger. Son tres elementos que conforman los activos: o Información: Es el objeto de mayor valor para una organización. o El objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico.  Equipos que la soportan: Software, hardware y organización.  Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones manejan la información. Objetivos de la auditoria en seguridad Objetivos generales: Tener un panorama actualizado de los sistemas información en cuanto a la seguridad física, las políticas de utilización, transferencia de datos y seguridad los activos. Objetivos generales:  Evaluar si la persona encargada del mantenimiento y programación sistema informático de la empresa cumple con el perfil del puesto.
 Identificar las áreas críticas, con respecto a la seguridad del equipo área de informática.  Diseñar los procedimientos a efectuar en el desarrollo de la auditoría del área informática. Análisis de riesgos El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas aseguren, más allá de la seguridad física que se establezca sobre los equipos en cuales almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder ellos las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informática que dicta: "lo no está permitido debe estar prohibido" y ésta debe ser la meta perseguida. Los medios para conseguirlo son:  Restringir el acceso (de personas la organización y las que no lo son) a los programas y archivos.  Asegurar que los operadores puedan trabajar pero no modificar programas ni los archivos que no correspondan (sin una supervisión minuciosa).  Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.  Asegurar que la información transmitida sea misma reciba el destinatario al cual se ha enviado y que no le llegue a otro.  Asegurar que existan sistemas y pasos de emergencia alternativos transmisión entre diferentes puntos.  Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas.  Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo. Las amenazas
Una vez que la programación y el funcionamiento de un dispositivo almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son menudo imprevisibles o inevitables, Calidad y seguridad de la información y auditoría informática modo que única protección posible es redundancia (en el caso de los datos) y la descentralización (por ejemplo mediante estructura de redes en el caso de las comunicaciones). Estos fenómenos pueden ser causados por:  El usuario: causa del mayor problema ligado a la seguridad de un sistema informático.  Programas maliciosos: programas destinados a perjudicar o hacer un uso ilícito de los recursos del sistema. Es instalado en el ordenador abriendo una puerta a intrusos o bien modificando los datos.  Un intruso: persona que consigue acceder a los datos o programas de cuales no tiene acceso.  Un siniestro, una mala manipulación o mal intención derivan a la pérdida del material de los archivos.  El personal interno de Sistemas. Las pujas poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática. Técnicas de aseguramiento del sistema Codificar la información. Vigilancia de red. Tecnologías repelentes o protectoras. Objetivos de las medidas seguridad Pueden ser vistos como una serie de niveles control: si un nivel falla, entonces otro toma posesión u ocupa su lugar y continúa con la operación del sistema, de forma que el impacto global que pudiera ocasionar la falla se reduce. Estos objetivos son: • Disuadir. En este nivel la meta es prevenir cualquier tipo de amenaza o desastre que pueda ocurrir.
• Detectar. La disuasión total generalmente no se consigue; por lo tanto, en este nivel establecen métodos de monitoreo y vigilancia que reporten cualquier riesgo o peligro, y que permitan tomar las acciones correctivas pertinentes. • Minimizar el impacto de pérdida o desastre. Si un accidente contratiempo ocurre, deben establecerse procedimientos que ayuden Calidad y seguridad de la información y auditoría informática a reducir la pérdida o el daño. • Investigar. Si la pérdida ocurre, puede realizarse una investigación que ayude a determinar lo pasó. La información que derive de esta investigación puede servir para futuras planeaciones de seguridad. • Recuperar. Las medidas de seguridad implican que debe haber un plan acción para recuperación en caso de que un accidente o desastre ocurra (sea cual fuere su causa), y hacerlo la manera más pronta posible. PREGUNTAS SI NO N/A SEGURIDAD 1. ¿Considera usted que hay demasiada humedad o exce- sivo calor, lo cual pueda deteriorar los computadores? 2. ¿En alguna ocasión usted ha estado trabajando en una aplicación y de pronto cuando la está ejecutando se ha cambiado y le ha generado una cosa diferente a lo que esperaba? 3. ¿En alguna ocasión un empleado se ha enfermado y le ha dicho el médico que es resultado del uso de algún aparato eléctrico? 4. ¿Tiene la empresa en algún lugar diferente al negocio, copias de seguridad los software y documentación importante que al darse un siniestro pueda afectar a la organización?
5. ¿Le han dado clave para ingresar al sistema? 6. ¿La clave que ha recibido le da acceso a documentos y archivos con base en la autoridad que tiene dentro de la empresa? 7. ¿Alguna vez su equipo no ha funcionado y al verificar algún accesorio ha estado desconectado? 8. ¿El acceso a internet es para todos los empleados? 9. ¿Alguna vez por casualidad ha abierto algún documento que solo debió ser abierto por funcionarios de nivel su- perior? 10. ¿Alguna vez al insertar su contraseña el sistema le ha dado mensaje de error y aun cuando lo escribe correc- tamente, el mensaje se ha repetido? Encuesta de Seguridad Informática 1. ¿Cuántos empleados existen en total en su organización? 1 a 50 51 a 100 101 a 200 201 a 300 301 a 500
501 a 1000 Más de 1000 2. ¿Cuántas personas de tiempo completo o equivalente se dedican a la seguridad informática? Ninguna 1 a 5 6 a 10 11 a 15 Más de 15 3. Basado en la respuesta anterior, marque las certificaciones relacionadas con seguridad de la información que poseen los profesionales dedicados a estos temas. Ninguna CISSP - Certified Information System Security Professional CISA - Certified Information System Auditor CISM - Certified Information Security Manager CFE - Certified Fraud Examiner CIFI - Certified Information Forensics Investigator CIA - Certified Internal Auditor Otra: ¿Cuál? 4. ¿De quién depende la responsabilidad de la seguridad informática de su organización? Auditoria interna Director de Seguridad Informática Director Departamento de Sistemas/Tecnología Gerente Ejecutivo Gerente de Finanzas
No se tiene especificado formalmente Otra: ¿Cuál? 5. El cargo en mi organización es: Presidente/Gerente General Director Ejecutivo Director/Vicepresidente Director/Jefe de Seguridad Informática Profesional del Departamento de Seguridad Informática Profesional de Departamento de Sistemas/Tecnología Auditor Interno Otra: ¿Cuál? 6. ¿El presupuesto global de informática de su organización, incluye aspectos de seguridad de la información? Sí No 7. ¿En qué se centra el gasto de seguridad de su organización? (Elige todas las que apliquen) Protección de la red Proteger los datos críticos de la organización Proteger la propiedad intelectual Proteger el almacenamiento de datos de clientes Concientización/formación del usuario final Comercio/negocios electrónicos Desarrollo y afinamiento de seguridad de las aplicaciones
Asesores de seguridad informática Contratación de personal más calificado Evaluaciones de seguridad internas y externas Otra: ¿Cuál? 8. ¿Cuál es el presupuesto total previsto para seguridad informática durante el 2005: gastos, hardware, software, asesorías y sueldos? (Elija una. Valores en Dólares Americanos) Menos de USD$50.000 Entre USD$50.001 y USD$70.000 Entre USD$70.001 y USD$90.000 Entre USD$90.001 y USD$110.000 Entre USD$110.001 y USD$130.000 Más de USD$130.000 9. ¿Cuál es la proyección del presupuesto total previsto para seguridad informática durante el 2006: gastos, hardware, software, asesorías y sueldos? Menos de USD$50.000 Entre USD$50.001 y USD$70.000 Entre USD$70.001 y USD$90.000 Entre USD$90.001 y USD$110.000 Entre USD$110.001 y USD$130.000 Más de USD$130.000 10. Durante el año anterior qué casos de violaciones de seguridad tuvieron lugar en su organiza-ción? (Elija todas las respuestas aplicables) Ninguno Manipulación de aplicaciones de software Accesos no autorizados al web
Fraude Virus Robo de datos Caballos de Troya Monitoreo no autorizado del tráfico Negación del servicio Pérdida de integridad Pérdida de información Otros: ¿Cuales? 11. ¿Cuantas intrusiones o incidentes de seguridad identificó en promedio durante el año ante-rior? Ninguna Entre 1-3 Entre 4-7 Más de 7 12. Cómo se enteró de éstas violaciones de seguridad? (Elija todas las aplicables) Material o datos alterados Análisis de registros de auditoría/sistema de archivos/registros Firewall Sistema de detección de intrusos Alertado por un cliente/proveedor Alertado por un colega Seminarios o conferencias Nacionales e internacionales Otros: ¿Cuál?
13. Una vez ocurre la violación de seguridad, ésta se notifica: (Elija todas las aplicables) Asesor legal Autoridades locales/regionales Autoridades nacionales Equipo de atención de incidentes Ninguno: No se denuncian Otro: ¿Cuál? 14. Si se decide no denunciar el incidente de seguridad, ¿cuáles son los motivos o principales preocupaciones? (Elija todas las aplicables) Pérdida de valor de accionistas Publicación de noticias desfavorables en los medios/pérdida de imagen Responsabilidad legal Motivaciones personales Vulnerabilidad ante la competencia Otro: ¿Cuál? 15. ¿Su organización es consciente de que existe evidencia digital que debe ser identificada, ase-gurada y analizada, como parte del proceso de atención de incidentes de seguridad informáti-ca? Sí No 16. Durante el año anterior cuántas pruebas de seguridad realizó su organización para valorar el estado de seguridad informática? (Elija una) Una al año Entre 2 y 4 al año
Más de 4 al año Ninguna 17. ¿Cuáles de los siguientes mecanismos utiliza actualmente su organización para proteger sus sistemas de información? (Elija todos los aplicables) Smart Cards Biométricos (huella digital, iris, etc.) Antivirus Contraseñas Encripción de datos Filtro de paquetes Firewalls Hardware Firewalls Software Firmas digitales/certificados digitales VPN/IPSec Proxies Sistemas de detección de intrusos Monitoreo 7x24 Otros: ¿Cuales? 18. Usted permanece informado de las fallas de seguridad de sus sistemas a través de: (Elija to-das las que aplique) Notificaciones de proveedores Notificaciones de colegas Lectura de artículos en revistas especializadas Lectura y análisis de listas de seguridad (BUGTRAQ, SEGURINFO, NTBUGTRAQ, etc) No se tiene este hábito.
19. Qué describe mejor la política de seguridad de su organización? (Elija una) No se tienen políticas de seguridad definidas Actualmente se encuentran en desarrollo Política formal, escrita documentada e informada a todo el personal 20. ¿Cuál de los siguientes es el obstáculo principal para lograr una adecuada seguridad informá-tica en su organización? Inexistencia de política de seguridad Falta de tiempo Falta de formación técnica Falta de apoyo directivo Falta de colaboración entre áreas/departamentos Complejidad tecnológica Poco entendimiento de la seguridad informática 21. ¿Su organización (Todo el personal), reconoce la información como un activo más a prote-ger? Sí No No Sabe 22. ¿Actualmente la organización posee contactos o relaciones con autoridades nacionales e in-ternacionales para colaborar y recibir asistencia en casos de persecuciones de intrusos? No No Sabe Si ¿Cuales?
RESULTADOS Aplicada a laboratorista PREGUNTAS SI NO N/A SEGURIDAD 1. ¿Considera usted que hay demasiada humedad o exce- sivo calor, lo cual pueda deteriorar los computadores? 2. ¿En alguna ocasión usted ha estado trabajando en una aplicación y de pronto cuando la está ejecutando se ha cambiado y le ha generado una cosa diferente a lo que esperaba? 3. ¿En alguna ocasión un empleado se ha enfermado y le ha dicho el médico que es resultado del uso de algún aparato eléctrico? 4. ¿Tiene la empresa en algún lugar diferente al negocio, copias de seguridad los software y documentación importante que al darse un siniestro pueda afectar a la organización? 5. ¿Le han dado clave para ingresar al sistema? 6. ¿La clave que ha recibido le da acceso a documentos y archivos con base en la autoridad que tiene dentro de empresa?
7. ¿Alguna vez su equipo no ha funcionado y al verificar algún accesorio ha estado desconectado? 8. ¿El acceso a internet es para todos los empleados? 9. ¿Alguna vez por casualidad ha abierto algún documento que solo debió ser abierto por funcionarios de nivel su- perior? 10. ¿Alguna vez al insertar su contraseña el sistema le ha dado mensaje de error y aun cuando lo escribe correc- tamente, el mensaje se ha repetido? Encuesta de Seguridad Informática Aplicado a un programador 1. ¿Cuántos empleados existen en total en su organización? 1 a 50 51 a 100 101 a 200 201 a 300 301 a 500 501 a 1000 Más de 1000
2. ¿Cuántas personas de tiempo completo o equivalente se dedican a la seguridad informática? Ninguna 1 a 5 6 a 10 11 a 15 Más de 15 3. Basado en la respuesta anterior, marque las certificaciones relacionadas con seguridad de la información que poseen los profesionales dedicados a estos temas. Ninguna CISSP - Certified Information System Security Professional CISA - Certified Information System Auditor CISM - Certified Information Security Manager CFE - Certified Fraud Examiner CIFI - Certified Information Forensics Investigator CIA - Certified Internal Auditor Otra: ¿Cuál? 4. ¿De quién depende la responsabilidad de la seguridad informática de su organización? Auditoria interna Director de Seguridad Informática Director Departamento de Sistemas/Tecnología Gerente Ejecutivo Gerente de Finanzas No se tiene especificado formalmente Otra: ¿Cuál?
5. El cargo en mi organización es: Presidente/Gerente General Director Ejecutivo Director/Vicepresidente Director/Jefe de Seguridad Informática Profesional del Departamento de Seguridad Informática Profesional de Departamento de Sistemas/Tecnología Auditor Interno Otra: ¿Cuál? 6. ¿El presupuesto global de informática de su organización, incluye aspectos de seguridad de la información? Sí No 7. ¿En qué se centra el gasto de seguridad de su organización? (Elige todas las que apliquen) Protección de la red Proteger los datos críticos de la organización Proteger la propiedad intelectual Proteger el almacenamiento de datos de clientes Concientización/formación del usuario final Comercio/negocios electrónicos Desarrollo y afinamiento de seguridad de las aplicaciones Asesores de seguridad informática Contratación de personal más calificado Evaluaciones de seguridad internas y externas
Otra: ¿Cuál? 8. ¿Cuál es el presupuesto total previsto para seguridad informática durante el 2005: gastos, hardware, software, asesorías y sueldos? (Elija una. Valores en Dólares Americanos) Menos de USD$50.000 Entre USD$50.001 y USD$70.000 Entre USD$70.001 y USD$90.000 Entre USD$90.001 y USD$110.000 Entre USD$110.001 y USD$130.000 Más de USD$130.000 9. ¿Cuál es la proyección del presupuesto total previsto para seguridad informática durante el 2006: gastos, hardware, software, asesorías y sueldos? Menos de USD$50.000 Entre USD$50.001 y USD$70.000 Entre USD$70.001 y USD$90.000 Entre USD$90.001 y USD$110.000 Entre USD$110.001 y USD$130.000 Más de USD$130.000 10. Durante el año anterior qué casos de violaciones de seguridad tuvieron lugar en su organiza-ción? (Elija todas las respuestas aplicables) Ninguno Manipulación de aplicaciones de software Accesos no autorizados al web Fraude Virus Robo de datos
Caballos de Troya Monitoreo no autorizado del tráfico Negación del servicio Pérdida de integridad Pérdida de información Otros: ¿Cuales? 11. ¿Cuantas intrusiones o incidentes de seguridad identificó en promedio durante el año ante-rior? Ninguna Entre 1-3 Entre 4-7 Más de 7 12. Cómo se enteró de éstas violaciones de seguridad? (Elija todas las aplicables) Material o datos alterados Análisis de registros de auditoría/sistema de archivos/registros Firewall Sistema de detección de intrusos Alertado por un cliente/proveedor Alertado por un colega Seminarios o conferencias Nacionales e internacionales Otros: ¿Cuál? 13. Una vez ocurre la violación de seguridad, ésta se notifica: (Elija todas las aplicables) Asesor legal Autoridades locales/regionales
Autoridades nacionales Equipo de atención de incidentes Ninguno: No se denuncian Otro: ¿Cuál? 14. Si se decide no denunciar el incidente de seguridad, ¿cuáles son los motivos o principales preocupaciones? (Elija todas las aplicables) Pérdida de valor de accionistas Publicación de noticias desfavorables en los medios/pérdida de imagen Responsabilidad legal Motivaciones personales Vulnerabilidad ante la competencia Otro: ¿Cuál? 15. ¿Su organización es consciente de que existe evidencia digital que debe ser identificada, ase-gurada y analizada, como parte del proceso de atención de incidentes de seguridad informáti-ca? Sí No 16. Durante el año anterior cuántas pruebas de seguridad realizó su organización para valorar el estado de seguridad informática? (Elija una) Una al año Entre 2 y 4 al año Más de 4 al año Ninguna
17. Cuáles de los siguientes mecanismos utiliza actualmente su organización para proteger sus sistemas de información? (Elija todos los aplicables) Smart Cards Biométricos (huella digital, iris, etc) Antivirus Contraseñas Encripción de datos Filtro de paquetes Firewalls Hardware Firewalls Software Firmas digitales/certificados digitales VPN/IPSec Proxies Sistemas de detección de intrusos Monitoreo 7x24 Otros: ¿Cuales? 18. Usted permanece informado de las fallas de seguridad de sus sistemas a través de: (Elija to-das las que aplique) Notificaciones de proveedores Notificaciones de colegas Lectura de artículos en revistas especializadas Lectura y análisis de listas de seguridad (BUGTRAQ, SEGURINFO, NTBUGTRAQ, etc) No se tiene este hábito. 19. Qué describe mejor la política de seguridad de su organización? (Elija una) No se tienen políticas de seguridad definidas
Actualmente se encuentran en desarrollo Política formal, escrita documentada e informada a todo el personal 20. ¿Cuál de los siguientes es el obstáculo principal para lograr una adecuada seguridad informá-tica en su organización? Inexistencia de política de seguridad Falta de tiempo Falta de formación técnica Falta de apoyo directivo Falta de colaboración entre áreas/departamentos Complejidad tecnológica Poco entendimiento de la seguridad informática 21. ¿Su organización (Todo el personal), reconoce la información como un activo más a prote-ger? Sí No No Sabe 22. ¿Actualmente la organización posee contactos o relaciones con autoridades nacionales e in-ternacionales para colaborar y recibir asistencia en casos de persecuciones de intrusos? No No Sabe Si ¿Cuales?
CONCLUSIONES Cruz Enrique Rodríguez Mireles Al realizar este trabajo es de mucha utilidad, ya que nos sirve para si en alguna ocasión realizáramos alguna auditoria informática o incluso al ser un auditado podamos realizar la auditoria de una manera correcta. Al realizar una planeación de auditoria es la parte más importante las fases ya que así ya sabemos lo que vamos a realizar al momento de el trabajo será más sencillo y rápido de ejecutar. Además es necesario determinar las herramientas desde un principio y llevarlas ya planteados para así solamente llegar y aplicarlas en la auditoria. Edgar Samuel Ramírez Mata Este trabajo fue muy útil e interesante porque si en un futuro hacemos una auditoria informática ya sabemos cómo realizar sus herramientas. También podemos realizar una planeación de la auditoria y así hacerla más fácil.

Recomendados

Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNJorge Skorey
 
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSPROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSJenny Johanna
 
Proyecto final crs (1)
Proyecto final crs (1)Proyecto final crs (1)
Proyecto final crs (1)Leonel Ibarra
 
Actividad 3 crs
Actividad 3 crsActividad 3 crs
Actividad 3 crsJesus Ortiz
 
Manual de seguridad en redes
Manual de seguridad en redesManual de seguridad en redes
Manual de seguridad en redesCarlos M. Sandoval
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informáticajemarinoi
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloDavid Moreno Saray
 

Recomendados

Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNJorge Skorey
 
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSPROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSJenny Johanna
 
Proyecto final crs (1)
Proyecto final crs (1)Proyecto final crs (1)
Proyecto final crs (1)Leonel Ibarra
 
Actividad 3 crs
Actividad 3 crsActividad 3 crs
Actividad 3 crsJesus Ortiz
 
Manual de seguridad en redes
Manual de seguridad en redesManual de seguridad en redes
Manual de seguridad en redesCarlos M. Sandoval
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informáticajemarinoi
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloDavid Moreno Saray
 
Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.GwenWake
 
Antivirus
AntivirusAntivirus
Antivirusrockeritoguns01
 
Seguridad de acceso remoto
Seguridad de acceso remotoSeguridad de acceso remoto
Seguridad de acceso remotoGwenWake
 
Seguridad y Redes-Proyecto final crs
Seguridad y Redes-Proyecto final crsSeguridad y Redes-Proyecto final crs
Seguridad y Redes-Proyecto final crsAurelio Yesquen Aragon
 
1a seguridad informatica
1a seguridad informatica1a seguridad informatica
1a seguridad informaticaJorge Victor Velasquez Roque
 
1er nivel 5ta clase
1er nivel 5ta clase1er nivel 5ta clase
1er nivel 5ta clasewilliamjmc10
 
Antivirus
AntivirusAntivirus
AntivirusSeptimogrupo
 
redes y seguridad Evidencias 2
redes y seguridad Evidencias 2redes y seguridad Evidencias 2
redes y seguridad Evidencias 2Carlos Andres Perez Cabrales
 
Sena Actividad 2 3
Sena Actividad 2 3Sena Actividad 2 3
Sena Actividad 2 3Andrea Ramirez
 
Seguridad informática-en-la-sociedad-y-empresas
Seguridad informática-en-la-sociedad-y-empresas Seguridad informática-en-la-sociedad-y-empresas
Seguridad informática-en-la-sociedad-y-empresas RoggerArmas
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personassandruitus
 
Antivirus
AntivirusAntivirus
AntivirusNicolas159
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaUPTM
 
Seguridad de los sistemas de informacion
Seguridad de los sistemas de informacionSeguridad de los sistemas de informacion
Seguridad de los sistemas de informacionCristian Bailey
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
 
redes y seguridad Proyecto final
redes y seguridad Proyecto finalredes y seguridad Proyecto final
redes y seguridad Proyecto finalCarlos Andres Perez Cabrales
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgosJorge Pariasca
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personassandruitus
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticablegro
 
Inf.seguridad informítica 1
Inf.seguridad informítica 1Inf.seguridad informítica 1
Inf.seguridad informítica 1Naturales32
 
empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docxCLARIBELVILLARREAL
 

Más contenido relacionado

La actualidad más candente

Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.GwenWake
 
Seguridad de acceso remoto
Seguridad de acceso remotoSeguridad de acceso remoto
Seguridad de acceso remotoGwenWake
 
1er nivel 5ta clase
1er nivel 5ta clase1er nivel 5ta clase
1er nivel 5ta clasewilliamjmc10
 
Seguridad informática-en-la-sociedad-y-empresas
Seguridad informática-en-la-sociedad-y-empresas Seguridad informática-en-la-sociedad-y-empresas
Seguridad informática-en-la-sociedad-y-empresas RoggerArmas
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personassandruitus
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaUPTM
 
Seguridad de los sistemas de informacion
Seguridad de los sistemas de informacionSeguridad de los sistemas de informacion
Seguridad de los sistemas de informacionCristian Bailey
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
 

La actualidad más candente (17)

Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.
 
Antivirus
AntivirusAntivirus
Antivirus
 
Seguridad de acceso remoto
Seguridad de acceso remotoSeguridad de acceso remoto
Seguridad de acceso remoto
 
Seguridad y Redes-Proyecto final crs
Seguridad y Redes-Proyecto final crsSeguridad y Redes-Proyecto final crs
Seguridad y Redes-Proyecto final crs
 
1a seguridad informatica
1a seguridad informatica1a seguridad informatica
1a seguridad informatica
 
1er nivel 5ta clase
1er nivel 5ta clase1er nivel 5ta clase
1er nivel 5ta clase
 
Antivirus
AntivirusAntivirus
Antivirus
 
redes y seguridad Evidencias 2
redes y seguridad Evidencias 2redes y seguridad Evidencias 2
redes y seguridad Evidencias 2
 
Sena Actividad 2 3
Sena Actividad 2 3Sena Actividad 2 3
Sena Actividad 2 3
 
Seguridad informática-en-la-sociedad-y-empresas
Seguridad informática-en-la-sociedad-y-empresas Seguridad informática-en-la-sociedad-y-empresas
Seguridad informática-en-la-sociedad-y-empresas
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
 
Antivirus
AntivirusAntivirus
Antivirus
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/Logica
 
Seguridad de los sistemas de informacion
Seguridad de los sistemas de informacionSeguridad de los sistemas de informacion
Seguridad de los sistemas de informacion
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
 
redes y seguridad Proyecto final
redes y seguridad Proyecto finalredes y seguridad Proyecto final
redes y seguridad Proyecto final
 

Similar a A3APSeguridad_soft_vision

Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personassandruitus
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticablegro
 
Inf.seguridad informítica 1
Inf.seguridad informítica 1Inf.seguridad informítica 1
Inf.seguridad informítica 1Naturales32
 
empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docxCLARIBELVILLARREAL
 
Proyecto Final CRS - Redes y Seguridad
Proyecto Final CRS - Redes y SeguridadProyecto Final CRS - Redes y Seguridad
Proyecto Final CRS - Redes y SeguridadJesús Daniel Mayo
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaremyor09
 
auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redesJerich Chavarry
 
Guón sobre la seguridad informática
Guón sobre la seguridad informáticaGuón sobre la seguridad informática
Guón sobre la seguridad informáticaJon Echanove
 
Guión sobre la seguridad informática
Guión sobre la seguridad informática Guión sobre la seguridad informática
Guión sobre la seguridad informática Nacor Bea Galán
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaLuzyrr
 

Similar a A3APSeguridad_soft_vision (20)

Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgos
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Inf.seguridad informítica 1
Inf.seguridad informítica 1Inf.seguridad informítica 1
Inf.seguridad informítica 1
 
empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docx
 
Informatica slideshare
Informatica slideshareInformatica slideshare
Informatica slideshare
 
Proyecto Final CRS - Redes y Seguridad
Proyecto Final CRS - Redes y SeguridadProyecto Final CRS - Redes y Seguridad
Proyecto Final CRS - Redes y Seguridad
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Auditoria danper
Auditoria danperAuditoria danper
Auditoria danper
 
auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redes
 
Seguridad informática.docx
Seguridad informática.docxSeguridad informática.docx
Seguridad informática.docx
 
Guón sobre la seguridad informática
Guón sobre la seguridad informáticaGuón sobre la seguridad informática
Guón sobre la seguridad informática
 
Guión sobre la seguridad informática
Guión sobre la seguridad informática Guión sobre la seguridad informática
Guión sobre la seguridad informática
 
Trabajo
TrabajoTrabajo
Trabajo
 
trabajo
trabajotrabajo
trabajo
 
Client Side Exploration
Client Side ExplorationClient Side Exploration
Client Side Exploration
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Tarea.....c.
Tarea.....c.Tarea.....c.
Tarea.....c.
 

Más de UTZAC Unidad Académica de Pinos

Más de UTZAC Unidad Académica de Pinos (15)

Cuaderno de Ingenieria
Cuaderno de IngenieriaCuaderno de Ingenieria
Cuaderno de Ingenieria
 
MIT App Inventor 2 "Aplicacion"
MIT App Inventor 2 "Aplicacion"MIT App Inventor 2 "Aplicacion"
MIT App Inventor 2 "Aplicacion"
 
Introduccion a appmoviles
Introduccion a appmovilesIntroduccion a appmoviles
Introduccion a appmoviles
 
PHP
PHPPHP
PHP
 
MetricasMcCall
MetricasMcCallMetricasMcCall
MetricasMcCall
 
MetricasMcCall
MetricasMcCallMetricasMcCall
MetricasMcCall
 
CalidadSW
CalidadSWCalidadSW
CalidadSW
 
aplicaciones RIA y tradicionales - Web 1.0 y Web2.0
aplicaciones RIA y tradicionales - Web 1.0 y Web2.0aplicaciones RIA y tradicionales - Web 1.0 y Web2.0
aplicaciones RIA y tradicionales - Web 1.0 y Web2.0
 
Patrones de diseño
Patrones de diseñoPatrones de diseño
Patrones de diseño
 
manualdewindows
manualdewindowsmanualdewindows
manualdewindows
 
Derechos deautor
Derechos deautorDerechos deautor
Derechos deautor
 
ParadigmasDeProgramacion
ParadigmasDeProgramacionParadigmasDeProgramacion
ParadigmasDeProgramacion
 
A1 u6ga enrutamiento estado enlace
A1 u6ga enrutamiento estado enlaceA1 u6ga enrutamiento estado enlace
A1 u6ga enrutamiento estado enlace
 
Lan link-state
Lan link-stateLan link-state
Lan link-state
 
A1U6GA Enrutamiento Estado Enlace
A1U6GA Enrutamiento Estado EnlaceA1U6GA Enrutamiento Estado Enlace
A1U6GA Enrutamiento Estado Enlace
 

A3APSeguridad_soft_vision

  • 1. UNIVERSIDAD TECNOLÓGICA DEL ESTADO DE ZACATECAS UNIDAD ACADÉMICA DE PINOS ADMINISTRACIÓN DE LA FUNCIÓN INFORMÁTICA IDS. LUCIA GONZÁLEZ HERNÁNDEZ AUDITORIA INFORMÁTICA EDGAR SAMUEL RAMÍREZ MATA CRUZ ENRIQUE RODRÍGUEZ MIRELES PINOS ZAC, 22 de agosto 2014 SoftVISION
  • 2. Objetivo Crear nuevo software y juegos para adquirir habilidades en el ámbito educativo de una forma dinámica y divertida para los usuarios e implementarlos en distintas plataformas. Misión Crear e implementar aplicaciones competitivas e innovadoras para ser distribuidas en las comunidades educativas y así agilizar el aprendizaje de los usuarios. Visión Ser una organización con un gran impacto en sus productos a nivel mundial y así asegurar el crecimiento de la empresa así como su permanencia en el mercado del software. DIRECTOR SUBDIRECTOR JEFE ADMINISTRATIVO RECURSOS HUMANOS RECURSOS TECNOLOGICOS RECURSOS FINANCIEROS DESARROLLO DE SOFTWARE JEFE DE PERSONAL ABOGADO JEFE DE RECURSOS LABORATORISTA CONTADOR ADMINISTRADOR DE PROYECTOS ANALISTAS DISEÑADORES TERTERS DOCUMENTADORES PROGRAMADORES
  • 3.  Director: Quien dirige toda la empresa.  Subdirector: Ayuda al director a dirigir la empresa y sustituye al mismo en caso de que no asista.  Jefe administrativo: Encargado de organizar todas las actividades que se tengan realizar en la empresa.  Recursos humanos: Lleva todo el control de los empleados.  Jefe de personal: Verifica que todos los empleados realicen su función, además de controlarlos, asignar sus puestos y salarios.  Abogado: Lleva a cabo todos los procesos legales de la organización.  Recursos tecnológicos: Todo el material de software y hardware que los empleados necesitan en los laboratorios.  Jefe de recursos: Asignar el material requerido por los desarrolladores.  Laboratoristas: Le da mantenimiento a los equipos tecnológicos y de redes.  Recursos financieros: Encarga de llevar el control todas las finanzas.  Contador: Administra los recursos monetarios de la empresa y salarios empleados.  Desarrollo de software: Desarrollar los proyectos de software.  Administrador de proyectos: Administra y controla los recursos asignados a un proyecto, con el fin de que se cumplan correctamente los planes definidos.  Diseñadores: Define la arquitectura de hardware y software, componentes, módulos datos
  • 4. de un sistema cómputo para satisfacer ciertos requerimientos.  Programadores: Escribe, depura y mantiene el código fuente de un programa informático, es decir, del conjunto de instrucciones que ejecuta el hardware una computadora para realizar una tarea determinada.  Tester: Detecta la mayor cantidad de fallas severas (incidentes alto impacto) con el mínimo esfuerzo, antes de que el software salga a producción.  Documentadores: Realiza toda la documentación que se debe de entregar una vez que un proyecto o desarrollo se termine. Objetivos de la seguridad informática:  Los activos son los elementos que la seguridad informática tiene como objetivo proteger. Son tres elementos que conforman los activos: o Información: Es el objeto de mayor valor para una organización. o El objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico.  Equipos que la soportan: Software, hardware y organización.  Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones manejan la información. Objetivos de la auditoria en seguridad Objetivos generales: Tener un panorama actualizado de los sistemas información en cuanto a la seguridad física, las políticas de utilización, transferencia de datos y seguridad los activos. Objetivos generales:  Evaluar si la persona encargada del mantenimiento y programación sistema informático de la empresa cumple con el perfil del puesto.
  • 5.  Identificar las áreas críticas, con respecto a la seguridad del equipo área de informática.  Diseñar los procedimientos a efectuar en el desarrollo de la auditoría del área informática. Análisis de riesgos El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas aseguren, más allá de la seguridad física que se establezca sobre los equipos en cuales almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder ellos las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informática que dicta: "lo no está permitido debe estar prohibido" y ésta debe ser la meta perseguida. Los medios para conseguirlo son:  Restringir el acceso (de personas la organización y las que no lo son) a los programas y archivos.  Asegurar que los operadores puedan trabajar pero no modificar programas ni los archivos que no correspondan (sin una supervisión minuciosa).  Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.  Asegurar que la información transmitida sea misma reciba el destinatario al cual se ha enviado y que no le llegue a otro.  Asegurar que existan sistemas y pasos de emergencia alternativos transmisión entre diferentes puntos.  Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas.  Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo. Las amenazas
  • 6. Una vez que la programación y el funcionamiento de un dispositivo almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son menudo imprevisibles o inevitables, Calidad y seguridad de la información y auditoría informática modo que única protección posible es redundancia (en el caso de los datos) y la descentralización (por ejemplo mediante estructura de redes en el caso de las comunicaciones). Estos fenómenos pueden ser causados por:  El usuario: causa del mayor problema ligado a la seguridad de un sistema informático.  Programas maliciosos: programas destinados a perjudicar o hacer un uso ilícito de los recursos del sistema. Es instalado en el ordenador abriendo una puerta a intrusos o bien modificando los datos.  Un intruso: persona que consigue acceder a los datos o programas de cuales no tiene acceso.  Un siniestro, una mala manipulación o mal intención derivan a la pérdida del material de los archivos.  El personal interno de Sistemas. Las pujas poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática. Técnicas de aseguramiento del sistema Codificar la información. Vigilancia de red. Tecnologías repelentes o protectoras. Objetivos de las medidas seguridad Pueden ser vistos como una serie de niveles control: si un nivel falla, entonces otro toma posesión u ocupa su lugar y continúa con la operación del sistema, de forma que el impacto global que pudiera ocasionar la falla se reduce. Estos objetivos son: • Disuadir. En este nivel la meta es prevenir cualquier tipo de amenaza o desastre que pueda ocurrir.
  • 7. • Detectar. La disuasión total generalmente no se consigue; por lo tanto, en este nivel establecen métodos de monitoreo y vigilancia que reporten cualquier riesgo o peligro, y que permitan tomar las acciones correctivas pertinentes. • Minimizar el impacto de pérdida o desastre. Si un accidente contratiempo ocurre, deben establecerse procedimientos que ayuden Calidad y seguridad de la información y auditoría informática a reducir la pérdida o el daño. • Investigar. Si la pérdida ocurre, puede realizarse una investigación que ayude a determinar lo pasó. La información que derive de esta investigación puede servir para futuras planeaciones de seguridad. • Recuperar. Las medidas de seguridad implican que debe haber un plan acción para recuperación en caso de que un accidente o desastre ocurra (sea cual fuere su causa), y hacerlo la manera más pronta posible. PREGUNTAS SI NO N/A SEGURIDAD 1. ¿Considera usted que hay demasiada humedad o exce- sivo calor, lo cual pueda deteriorar los computadores? 2. ¿En alguna ocasión usted ha estado trabajando en una aplicación y de pronto cuando la está ejecutando se ha cambiado y le ha generado una cosa diferente a lo que esperaba? 3. ¿En alguna ocasión un empleado se ha enfermado y le ha dicho el médico que es resultado del uso de algún aparato eléctrico? 4. ¿Tiene la empresa en algún lugar diferente al negocio, copias de seguridad los software y documentación importante que al darse un siniestro pueda afectar a la organización?
  • 8. 5. ¿Le han dado clave para ingresar al sistema? 6. ¿La clave que ha recibido le da acceso a documentos y archivos con base en la autoridad que tiene dentro de la empresa? 7. ¿Alguna vez su equipo no ha funcionado y al verificar algún accesorio ha estado desconectado? 8. ¿El acceso a internet es para todos los empleados? 9. ¿Alguna vez por casualidad ha abierto algún documento que solo debió ser abierto por funcionarios de nivel su- perior? 10. ¿Alguna vez al insertar su contraseña el sistema le ha dado mensaje de error y aun cuando lo escribe correc- tamente, el mensaje se ha repetido? Encuesta de Seguridad Informática 1. ¿Cuántos empleados existen en total en su organización? 1 a 50 51 a 100 101 a 200 201 a 300 301 a 500
  • 9. 501 a 1000 Más de 1000 2. ¿Cuántas personas de tiempo completo o equivalente se dedican a la seguridad informática? Ninguna 1 a 5 6 a 10 11 a 15 Más de 15 3. Basado en la respuesta anterior, marque las certificaciones relacionadas con seguridad de la información que poseen los profesionales dedicados a estos temas. Ninguna CISSP - Certified Information System Security Professional CISA - Certified Information System Auditor CISM - Certified Information Security Manager CFE - Certified Fraud Examiner CIFI - Certified Information Forensics Investigator CIA - Certified Internal Auditor Otra: ¿Cuál? 4. ¿De quién depende la responsabilidad de la seguridad informática de su organización? Auditoria interna Director de Seguridad Informática Director Departamento de Sistemas/Tecnología Gerente Ejecutivo Gerente de Finanzas
  • 10. No se tiene especificado formalmente Otra: ¿Cuál? 5. El cargo en mi organización es: Presidente/Gerente General Director Ejecutivo Director/Vicepresidente Director/Jefe de Seguridad Informática Profesional del Departamento de Seguridad Informática Profesional de Departamento de Sistemas/Tecnología Auditor Interno Otra: ¿Cuál? 6. ¿El presupuesto global de informática de su organización, incluye aspectos de seguridad de la información? Sí No 7. ¿En qué se centra el gasto de seguridad de su organización? (Elige todas las que apliquen) Protección de la red Proteger los datos críticos de la organización Proteger la propiedad intelectual Proteger el almacenamiento de datos de clientes Concientización/formación del usuario final Comercio/negocios electrónicos Desarrollo y afinamiento de seguridad de las aplicaciones
  • 11. Asesores de seguridad informática Contratación de personal más calificado Evaluaciones de seguridad internas y externas Otra: ¿Cuál? 8. ¿Cuál es el presupuesto total previsto para seguridad informática durante el 2005: gastos, hardware, software, asesorías y sueldos? (Elija una. Valores en Dólares Americanos) Menos de USD$50.000 Entre USD$50.001 y USD$70.000 Entre USD$70.001 y USD$90.000 Entre USD$90.001 y USD$110.000 Entre USD$110.001 y USD$130.000 Más de USD$130.000 9. ¿Cuál es la proyección del presupuesto total previsto para seguridad informática durante el 2006: gastos, hardware, software, asesorías y sueldos? Menos de USD$50.000 Entre USD$50.001 y USD$70.000 Entre USD$70.001 y USD$90.000 Entre USD$90.001 y USD$110.000 Entre USD$110.001 y USD$130.000 Más de USD$130.000 10. Durante el año anterior qué casos de violaciones de seguridad tuvieron lugar en su organiza-ción? (Elija todas las respuestas aplicables) Ninguno Manipulación de aplicaciones de software Accesos no autorizados al web
  • 12. Fraude Virus Robo de datos Caballos de Troya Monitoreo no autorizado del tráfico Negación del servicio Pérdida de integridad Pérdida de información Otros: ¿Cuales? 11. ¿Cuantas intrusiones o incidentes de seguridad identificó en promedio durante el año ante-rior? Ninguna Entre 1-3 Entre 4-7 Más de 7 12. Cómo se enteró de éstas violaciones de seguridad? (Elija todas las aplicables) Material o datos alterados Análisis de registros de auditoría/sistema de archivos/registros Firewall Sistema de detección de intrusos Alertado por un cliente/proveedor Alertado por un colega Seminarios o conferencias Nacionales e internacionales Otros: ¿Cuál?
  • 13. 13. Una vez ocurre la violación de seguridad, ésta se notifica: (Elija todas las aplicables) Asesor legal Autoridades locales/regionales Autoridades nacionales Equipo de atención de incidentes Ninguno: No se denuncian Otro: ¿Cuál? 14. Si se decide no denunciar el incidente de seguridad, ¿cuáles son los motivos o principales preocupaciones? (Elija todas las aplicables) Pérdida de valor de accionistas Publicación de noticias desfavorables en los medios/pérdida de imagen Responsabilidad legal Motivaciones personales Vulnerabilidad ante la competencia Otro: ¿Cuál? 15. ¿Su organización es consciente de que existe evidencia digital que debe ser identificada, ase-gurada y analizada, como parte del proceso de atención de incidentes de seguridad informáti-ca? Sí No 16. Durante el año anterior cuántas pruebas de seguridad realizó su organización para valorar el estado de seguridad informática? (Elija una) Una al año Entre 2 y 4 al año
  • 14. Más de 4 al año Ninguna 17. ¿Cuáles de los siguientes mecanismos utiliza actualmente su organización para proteger sus sistemas de información? (Elija todos los aplicables) Smart Cards Biométricos (huella digital, iris, etc.) Antivirus Contraseñas Encripción de datos Filtro de paquetes Firewalls Hardware Firewalls Software Firmas digitales/certificados digitales VPN/IPSec Proxies Sistemas de detección de intrusos Monitoreo 7x24 Otros: ¿Cuales? 18. Usted permanece informado de las fallas de seguridad de sus sistemas a través de: (Elija to-das las que aplique) Notificaciones de proveedores Notificaciones de colegas Lectura de artículos en revistas especializadas Lectura y análisis de listas de seguridad (BUGTRAQ, SEGURINFO, NTBUGTRAQ, etc) No se tiene este hábito.
  • 15. 19. Qué describe mejor la política de seguridad de su organización? (Elija una) No se tienen políticas de seguridad definidas Actualmente se encuentran en desarrollo Política formal, escrita documentada e informada a todo el personal 20. ¿Cuál de los siguientes es el obstáculo principal para lograr una adecuada seguridad informá-tica en su organización? Inexistencia de política de seguridad Falta de tiempo Falta de formación técnica Falta de apoyo directivo Falta de colaboración entre áreas/departamentos Complejidad tecnológica Poco entendimiento de la seguridad informática 21. ¿Su organización (Todo el personal), reconoce la información como un activo más a prote-ger? Sí No No Sabe 22. ¿Actualmente la organización posee contactos o relaciones con autoridades nacionales e in-ternacionales para colaborar y recibir asistencia en casos de persecuciones de intrusos? No No Sabe Si ¿Cuales?
  • 16. RESULTADOS Aplicada a laboratorista PREGUNTAS SI NO N/A SEGURIDAD 1. ¿Considera usted que hay demasiada humedad o exce- sivo calor, lo cual pueda deteriorar los computadores? 2. ¿En alguna ocasión usted ha estado trabajando en una aplicación y de pronto cuando la está ejecutando se ha cambiado y le ha generado una cosa diferente a lo que esperaba? 3. ¿En alguna ocasión un empleado se ha enfermado y le ha dicho el médico que es resultado del uso de algún aparato eléctrico? 4. ¿Tiene la empresa en algún lugar diferente al negocio, copias de seguridad los software y documentación importante que al darse un siniestro pueda afectar a la organización? 5. ¿Le han dado clave para ingresar al sistema? 6. ¿La clave que ha recibido le da acceso a documentos y archivos con base en la autoridad que tiene dentro de empresa?
  • 17. 7. ¿Alguna vez su equipo no ha funcionado y al verificar algún accesorio ha estado desconectado? 8. ¿El acceso a internet es para todos los empleados? 9. ¿Alguna vez por casualidad ha abierto algún documento que solo debió ser abierto por funcionarios de nivel su- perior? 10. ¿Alguna vez al insertar su contraseña el sistema le ha dado mensaje de error y aun cuando lo escribe correc- tamente, el mensaje se ha repetido? Encuesta de Seguridad Informática Aplicado a un programador 1. ¿Cuántos empleados existen en total en su organización? 1 a 50 51 a 100 101 a 200 201 a 300 301 a 500 501 a 1000 Más de 1000
  • 18. 2. ¿Cuántas personas de tiempo completo o equivalente se dedican a la seguridad informática? Ninguna 1 a 5 6 a 10 11 a 15 Más de 15 3. Basado en la respuesta anterior, marque las certificaciones relacionadas con seguridad de la información que poseen los profesionales dedicados a estos temas. Ninguna CISSP - Certified Information System Security Professional CISA - Certified Information System Auditor CISM - Certified Information Security Manager CFE - Certified Fraud Examiner CIFI - Certified Information Forensics Investigator CIA - Certified Internal Auditor Otra: ¿Cuál? 4. ¿De quién depende la responsabilidad de la seguridad informática de su organización? Auditoria interna Director de Seguridad Informática Director Departamento de Sistemas/Tecnología Gerente Ejecutivo Gerente de Finanzas No se tiene especificado formalmente Otra: ¿Cuál?
  • 19. 5. El cargo en mi organización es: Presidente/Gerente General Director Ejecutivo Director/Vicepresidente Director/Jefe de Seguridad Informática Profesional del Departamento de Seguridad Informática Profesional de Departamento de Sistemas/Tecnología Auditor Interno Otra: ¿Cuál? 6. ¿El presupuesto global de informática de su organización, incluye aspectos de seguridad de la información? Sí No 7. ¿En qué se centra el gasto de seguridad de su organización? (Elige todas las que apliquen) Protección de la red Proteger los datos críticos de la organización Proteger la propiedad intelectual Proteger el almacenamiento de datos de clientes Concientización/formación del usuario final Comercio/negocios electrónicos Desarrollo y afinamiento de seguridad de las aplicaciones Asesores de seguridad informática Contratación de personal más calificado Evaluaciones de seguridad internas y externas
  • 20. Otra: ¿Cuál? 8. ¿Cuál es el presupuesto total previsto para seguridad informática durante el 2005: gastos, hardware, software, asesorías y sueldos? (Elija una. Valores en Dólares Americanos) Menos de USD$50.000 Entre USD$50.001 y USD$70.000 Entre USD$70.001 y USD$90.000 Entre USD$90.001 y USD$110.000 Entre USD$110.001 y USD$130.000 Más de USD$130.000 9. ¿Cuál es la proyección del presupuesto total previsto para seguridad informática durante el 2006: gastos, hardware, software, asesorías y sueldos? Menos de USD$50.000 Entre USD$50.001 y USD$70.000 Entre USD$70.001 y USD$90.000 Entre USD$90.001 y USD$110.000 Entre USD$110.001 y USD$130.000 Más de USD$130.000 10. Durante el año anterior qué casos de violaciones de seguridad tuvieron lugar en su organiza-ción? (Elija todas las respuestas aplicables) Ninguno Manipulación de aplicaciones de software Accesos no autorizados al web Fraude Virus Robo de datos
  • 21. Caballos de Troya Monitoreo no autorizado del tráfico Negación del servicio Pérdida de integridad Pérdida de información Otros: ¿Cuales? 11. ¿Cuantas intrusiones o incidentes de seguridad identificó en promedio durante el año ante-rior? Ninguna Entre 1-3 Entre 4-7 Más de 7 12. Cómo se enteró de éstas violaciones de seguridad? (Elija todas las aplicables) Material o datos alterados Análisis de registros de auditoría/sistema de archivos/registros Firewall Sistema de detección de intrusos Alertado por un cliente/proveedor Alertado por un colega Seminarios o conferencias Nacionales e internacionales Otros: ¿Cuál? 13. Una vez ocurre la violación de seguridad, ésta se notifica: (Elija todas las aplicables) Asesor legal Autoridades locales/regionales
  • 22. Autoridades nacionales Equipo de atención de incidentes Ninguno: No se denuncian Otro: ¿Cuál? 14. Si se decide no denunciar el incidente de seguridad, ¿cuáles son los motivos o principales preocupaciones? (Elija todas las aplicables) Pérdida de valor de accionistas Publicación de noticias desfavorables en los medios/pérdida de imagen Responsabilidad legal Motivaciones personales Vulnerabilidad ante la competencia Otro: ¿Cuál? 15. ¿Su organización es consciente de que existe evidencia digital que debe ser identificada, ase-gurada y analizada, como parte del proceso de atención de incidentes de seguridad informáti-ca? Sí No 16. Durante el año anterior cuántas pruebas de seguridad realizó su organización para valorar el estado de seguridad informática? (Elija una) Una al año Entre 2 y 4 al año Más de 4 al año Ninguna
  • 23. 17. Cuáles de los siguientes mecanismos utiliza actualmente su organización para proteger sus sistemas de información? (Elija todos los aplicables) Smart Cards Biométricos (huella digital, iris, etc) Antivirus Contraseñas Encripción de datos Filtro de paquetes Firewalls Hardware Firewalls Software Firmas digitales/certificados digitales VPN/IPSec Proxies Sistemas de detección de intrusos Monitoreo 7x24 Otros: ¿Cuales? 18. Usted permanece informado de las fallas de seguridad de sus sistemas a través de: (Elija to-das las que aplique) Notificaciones de proveedores Notificaciones de colegas Lectura de artículos en revistas especializadas Lectura y análisis de listas de seguridad (BUGTRAQ, SEGURINFO, NTBUGTRAQ, etc) No se tiene este hábito. 19. Qué describe mejor la política de seguridad de su organización? (Elija una) No se tienen políticas de seguridad definidas
  • 24. Actualmente se encuentran en desarrollo Política formal, escrita documentada e informada a todo el personal 20. ¿Cuál de los siguientes es el obstáculo principal para lograr una adecuada seguridad informá-tica en su organización? Inexistencia de política de seguridad Falta de tiempo Falta de formación técnica Falta de apoyo directivo Falta de colaboración entre áreas/departamentos Complejidad tecnológica Poco entendimiento de la seguridad informática 21. ¿Su organización (Todo el personal), reconoce la información como un activo más a prote-ger? Sí No No Sabe 22. ¿Actualmente la organización posee contactos o relaciones con autoridades nacionales e in-ternacionales para colaborar y recibir asistencia en casos de persecuciones de intrusos? No No Sabe Si ¿Cuales?
  • 25. CONCLUSIONES Cruz Enrique Rodríguez Mireles Al realizar este trabajo es de mucha utilidad, ya que nos sirve para si en alguna ocasión realizáramos alguna auditoria informática o incluso al ser un auditado podamos realizar la auditoria de una manera correcta. Al realizar una planeación de auditoria es la parte más importante las fases ya que así ya sabemos lo que vamos a realizar al momento de el trabajo será más sencillo y rápido de ejecutar. Además es necesario determinar las herramientas desde un principio y llevarlas ya planteados para así solamente llegar y aplicarlas en la auditoria. Edgar Samuel Ramírez Mata Este trabajo fue muy útil e interesante porque si en un futuro hacemos una auditoria informática ya sabemos cómo realizar sus herramientas. También podemos realizar una planeación de la auditoria y así hacerla más fácil.