SlideShare una empresa de Scribd logo

Evaluacion De La Seguridad De Los Sistemas Informaticos

Este trabajo de investigación se realizó para conocer algunos aspectos sobre la seguridad de los sistemas informáticos.

1 de 19
Descargar para leer sin conexión
UNIVERSIDAD PANAMERICANA
              REGIONAL DE AHUACHAPAN




                       MATERIA:
                 AUDITORIA DE SISTEMAS




                     CATEDRATICO:
            LICDO. EDGARDO ENRIQUE CASTILLO.




                         TEMA:
EVALUACIÓN DE LA SEGURIDAD DE LOS SISTEMAS INFORMATICOS.




                        ALUMNO:
              JUDITH ESTER ALVAREZ PINEDA.
            ROXANA JANETH CACERES ALTUVE.
               VIDAL OVED CRUZ MULATILLO.
            DANILO ERNESTO HERRERA SINTIGO.
            LESBIA SORAIDA SANCHEZ OSORIO.




                     AHUACHAPAN, 14 DE MAYO DE 2009.
INDICE




CONTENIDO                                                                 PAGINA




  1. Introducción.                                                         3
  2. Evaluacion de la seguridad de los sistemas de información.            4
  3. Evaluación de la seguridad física de los sistemas.                    5
  4. Evaluación de la seguridad lógica del sistema.                        6
  5. Evaluación de la seguridad del personal del área de sistemas.         7
  6. Evaluación de la seguridad de la información y las bases de datos.    8
  7. Evaluación de la seguridad en el acceso y uso del software.           11
  8. Evaluación de la seguridad en la operación del hardware.              15
  9. Evaluación de la seguridad en las telecomunicaciones.                 17
INTRODUCCION




      En toda actividad se hace necesario, no sólo planear y ejecutar las actidades, sino
efectuar procedimientos de control que vayan encaminados a asegurar que dichas
actividades han sido ejecutadas de acuerdo a los parámetos que se habían establecido con
anterioridad.
      En el caso particular de la Auditoría de Sistemas, se sigue el mismo proceso y si no se
realiza una evaluación consciente con respecto a lo realizado, se corre el peligro que se
violenten los principios de seguridad establecidos.
      En vista de ellos, se hace necesario evaluar la seguridad de los sistemas de
información en diferentes aspectos y referidos al centro de cómputo.
      Entre estos aspectos podemos mencionar la seguridad física, la cual hace referencia al
cuidado físico de cada uno de los componentes que intervienen e interactúan en el área de
informática, tales como hardware, software, personal y otros.
      Al hablar de la seguridad lógica, nos referimos a que cada uno de los componentes
mencionados a continuación sigan de manera correcta y metódica los procesos para los
cuales fueron diseñados.
      Al referirnos a la seguridad del personal, se debe verificar que el personal esté seguro
físicamente, así como tabién, esté capacitado y en las condiciones psicológicas adecuadas
para que esté realizando su trabajo de manera efectiva.
      También hay aspectos referidos al hardware y software, con relación a los cuales se
presenta un cuestionario escueto sobre algunos aspectos que sería determinate realizar la
evaluación, ya que darían una respuestacon respecto al criterio sobre el buen uso de dichos
componentes.
      En última instancia, se presentan aspectos sobre la seguridad de las bases de datos y
de las comunicaciones, aspectos en los cuales la seguridad debe estar bien definida para
responder así a las necesidades de la entidad.
EVALUACION DE LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN.




      Uno de los rubros que están incrementando su popularidad dentro del ambiente
informático, es el relacionado con la seguridad del área de sistemas; con ello se incrementa
cada día más la necesidad de evaluar la seguridad y protección de los sistemas, ya sea en
los accesos a los centros de cómputo, en el ingreso y utilización de los propios sistemas y
en la consulta y manipulación de la información contenida en sus archivos, la seguridad de
las instalaciones, del personal y los usuarios de sistemas, así como de todo lo relacionado
con el resguardo de los sistemas computacionales.
      Es evidente que uno de los aspectos básicos que se deben contemplar en la evaluación
de sistemas, es precisamente la protección y resguardo de la información de la empresa,
tanto en el hardware como en el software, así como de los equipos adicionales que ayudan
al adecuado funcionamiento de los sistemas.
      En esta evaluación también se incluyen el acceso al área de sistemas, el acceso al
sistema, la protección y salvaguarda de los activos de esta área, las medidas de prevención
y combate de siniestros, y muchos otros aspectos que se pueden valorar mediante una
auditoría de sistemas.
      Para un mejor entendimiento de estos puntos, a continuación veremos las principales
áreas de seguridad que se pueden evaluar en una auditoría de sistemas.
      1. Evaluación de la seguridad física de los sistemas.
      2. Evaluación de la seguridad lógica del sistema.
      3. Evaluación de la seguridad del personal del área de sistemas.
      4. Evaluación de la seguridad de la información y las bases de datos.
      5. Evaluación de la seguridad en el acceso y uso del software.
      6. Evaluación de la seguridad en la operación del hardware.
      7. Evaluación de la seguridad en las telecomunicaciones.
      A continuación se desarrollarán los aspectos más importantes que tienen que ver con
cada una de estas principales áreas:
1. EVALUACIÓN DE LA SEGURIDAD FISICA DE LOS SISTEMAS.


      La seguridad de los sistemas de información envuelve la protección de la información
así como la de los sistemas computacionales usados para grabar, procesar y almacenar la
información. También esta involucrada en esta sección la seguridad equipamiento adicional
necesario y las personas designadas al manejo de la información.
      La seguridad física, se refiere por lo tanto a la protección del Hardware y de los
soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla
las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.
      El equipamiento de las organizaciones debe estar debidamente protegido de factores
físicos que los puedan dañar o mermar su capacidad de trabajo. Los equipos deben estar
protegidos de daños causados por incendios, exceso de humedad, robos, sabotajes. Los
equipos, físicamente no se limitan a solo las computadores y sus periféricos, también lo son
calculadoras, sistemas de almacenaje externos de datos como disquetes, CDs, etc., sistemas
de cableado, ruteadores.




AUDITORIA DE LA SEGURIDAD FÍSICA


      Se evaluaran las protecciones físicas de datos, programas instalaciones, equipos redes
y soportes, y por supuesto habrá que considerar a las personas, que estén protegidas y
existan medidas de evacuación, alarmas, salidas alternativas, así como que no estén
expuestas a riesgos superiores a los considerados admisibles en la entidad e incluso en el
sector.


AMENAZAS


      Pueden ser muy diversas: sabotaje, vandalismo, terrorismo accidentes de distinto tipo,
incendios, inundaciones, averías importantes, derrumbamientos, explosiones, así como
otros que afectan alas personas y pueden impactar el funcionamiento de los centros, tales
como errores, negligencias, huelgas, epidemias o intoxicaciones.
PROTECCIONES FÍSICAS ALGUNOS ASPECTOS A CONSIDERAR:


       Ubicación del centro de procesos, de los servidores locales, y en general de cualquier
elemento a proteger.
       Estructura, diseño, construcción y distribución de los edificios y de sus platas.
       Riesgos a los accesos físicos no controlados.
       Amenaza de fuego, problemas en el suministro eléctrico.
       Evitar sustituciones o sustracción de quipos, componentes, soportes magnéticos,
documentación u otros activos.




            2. EVALUACIÓN DE LA SEGURIDAD LÓGICA DEL SISTEMA.


       La seguridad lógica, se refiere a la seguridad de uso del software, a la protección de
los datos, procesos y programas, así como la del ordenado y autorizado acceso de los
usuarios a la información.


AUDITORIA DE LA SEGURIDAD LOGICA


       Es necesario verificar que cada usuario solo pude acceder a los recursos que sele
autorice el propietario, aunque sea de forma genérica, según su función, y con las
posibilidades que el propietario haya fijado: lectura, modificación, borrado, ejecución,
traslado a los sistemas lo que representaríamos en una matriz de accesos.
       En cuanto a autenticación, hasta tanto no se abaraten más y generalicen los sistemas
basados en la biométrica, el método más usado es la contraseña,
       Cuyas características serán acordes con las normas y estándares de la entidad, que
podrían contemplar diferencias para según que sistemas en función de la criticidad de los
recursos accedidos.
       Aspectos a evaluar respecto a las contraseñas pueden ser:
   •    Quien asigna la contraseña inicial y sucesivas.
   •    Longitud mínima y composición de caracteres.

Recomendados

LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasPaola Yèpez
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases kyaalena
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosDiana Alfaro
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria InformáticaWillian Yanza Chavez
 

Más contenido relacionado

La actualidad más candente

Proceso de la auditoria de sistemas
Proceso de la auditoria de sistemasProceso de la auditoria de sistemas
Proceso de la auditoria de sistemasJose Alvarado Robles
 
Marco referencia auditoria de sistemas informaticos
Marco referencia auditoria de sistemas informaticosMarco referencia auditoria de sistemas informaticos
Marco referencia auditoria de sistemas informaticoscarlosskovar
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaAcosta Escalante Jesus Jose
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaCarlos R. Adames B.
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticajoseaunefa
 
Control interno informatico
Control interno informaticoControl interno informatico
Control interno informaticonehifi barreto
 
8. tipos de auditoria en informatica
8.  tipos de  auditoria en informatica8.  tipos de  auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 
Cual es el rol del auditor de sistemas
Cual es el rol del auditor de sistemasCual es el rol del auditor de sistemas
Cual es el rol del auditor de sistemasViviana Marcela Yz
 
Ejemplo planificación de auditoria ergonomica
Ejemplo planificación de auditoria ergonomicaEjemplo planificación de auditoria ergonomica
Ejemplo planificación de auditoria ergonomicaluismarlmg
 
Cuestionario para una Auditoria Informática
Cuestionario para una Auditoria InformáticaCuestionario para una Auditoria Informática
Cuestionario para una Auditoria InformáticaBilly2010
 
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICA
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICATECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICA
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICAYULIANA JIMENEZ
 
Auditoria de la seguridad logica
Auditoria de la seguridad logicaAuditoria de la seguridad logica
Auditoria de la seguridad logica1416nb
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemasHector Chajón
 
Actividad 15 plan auditor informatico e informe de auditoría
Actividad  15   plan auditor informatico e informe de auditoríaActividad  15   plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaNancy Gamba Porras
 
Taacs, Técnicas de Auditoria Asistidas por Computador
Taacs, Técnicas de Auditoria Asistidas por ComputadorTaacs, Técnicas de Auditoria Asistidas por Computador
Taacs, Técnicas de Auditoria Asistidas por ComputadorEfraín Pérez
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosEduardo Gonzalez
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 

La actualidad más candente (20)

Proceso de la auditoria de sistemas
Proceso de la auditoria de sistemasProceso de la auditoria de sistemas
Proceso de la auditoria de sistemas
 
Marco referencia auditoria de sistemas informaticos
Marco referencia auditoria de sistemas informaticosMarco referencia auditoria de sistemas informaticos
Marco referencia auditoria de sistemas informaticos
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informática
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informatica
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informática
 
Control interno informatico
Control interno informaticoControl interno informatico
Control interno informatico
 
8. tipos de auditoria en informatica
8.  tipos de  auditoria en informatica8.  tipos de  auditoria en informatica
8. tipos de auditoria en informatica
 
Cual es el rol del auditor de sistemas
Cual es el rol del auditor de sistemasCual es el rol del auditor de sistemas
Cual es el rol del auditor de sistemas
 
Ejemplo planificación de auditoria ergonomica
Ejemplo planificación de auditoria ergonomicaEjemplo planificación de auditoria ergonomica
Ejemplo planificación de auditoria ergonomica
 
Cuestionario para una Auditoria Informática
Cuestionario para una Auditoria InformáticaCuestionario para una Auditoria Informática
Cuestionario para una Auditoria Informática
 
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICA
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICATECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICA
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICA
 
Auditoria de la seguridad logica
Auditoria de la seguridad logicaAuditoria de la seguridad logica
Auditoria de la seguridad logica
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas
 
Enfoque de auditoria basada en riesgo
Enfoque de auditoria basada en riesgoEnfoque de auditoria basada en riesgo
Enfoque de auditoria basada en riesgo
 
Actividad 15 plan auditor informatico e informe de auditoría
Actividad  15   plan auditor informatico e informe de auditoríaActividad  15   plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoría
 
Taacs, Técnicas de Auditoria Asistidas por Computador
Taacs, Técnicas de Auditoria Asistidas por ComputadorTaacs, Técnicas de Auditoria Asistidas por Computador
Taacs, Técnicas de Auditoria Asistidas por Computador
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redes
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
 

Similar a Evaluacion De La Seguridad De Los Sistemas Informaticos

Similar a Evaluacion De La Seguridad De Los Sistemas Informaticos (20)

Auditoria danper
Auditoria danperAuditoria danper
Auditoria danper
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
Seguridad lógica
Seguridad lógicaSeguridad lógica
Seguridad lógica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/Logica
 
Seguridad
Seguridad Seguridad
Seguridad
 
Modulo
ModuloModulo
Modulo
 
Jose muñoz
Jose muñozJose muñoz
Jose muñoz
 
Tema 8
Tema 8Tema 8
Tema 8
 
Seguridad de sistemas de inf
Seguridad de sistemas de infSeguridad de sistemas de inf
Seguridad de sistemas de inf
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
 
1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
 
Manual politicas de seguridad
Manual politicas de seguridad  Manual politicas de seguridad
Manual politicas de seguridad
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisica
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Seguridad Informática - UTS
Seguridad Informática - UTSSeguridad Informática - UTS
Seguridad Informática - UTS
 

Más de Vidal Oved

Plazas mined 20 de febrero de 2011
Plazas mined 20 de febrero de 2011Plazas mined 20 de febrero de 2011
Plazas mined 20 de febrero de 2011Vidal Oved
 
Transformaciones Químicas de la Materia
Transformaciones Químicas de la MateriaTransformaciones Químicas de la Materia
Transformaciones Químicas de la MateriaVidal Oved
 
Aprendamos A Factorizar
Aprendamos A FactorizarAprendamos A Factorizar
Aprendamos A FactorizarVidal Oved
 
Midamos Y Construyamos Con Triangulos
Midamos Y Construyamos Con TriangulosMidamos Y Construyamos Con Triangulos
Midamos Y Construyamos Con TriangulosVidal Oved
 
Conozcamos Y Utilicemos El Algebra
Conozcamos Y Utilicemos El AlgebraConozcamos Y Utilicemos El Algebra
Conozcamos Y Utilicemos El AlgebraVidal Oved
 
Utilicemos Proporcionalidad
Utilicemos ProporcionalidadUtilicemos Proporcionalidad
Utilicemos ProporcionalidadVidal Oved
 
8 Concepto Y ClasificacióN De Cuentas De Capital
8 Concepto Y ClasificacióN De Cuentas De Capital8 Concepto Y ClasificacióN De Cuentas De Capital
8 Concepto Y ClasificacióN De Cuentas De CapitalVidal Oved
 
6 Concepto Y ClasificacióN De Cuentas De Activo
6 Concepto Y ClasificacióN De Cuentas De Activo6 Concepto Y ClasificacióN De Cuentas De Activo
6 Concepto Y ClasificacióN De Cuentas De ActivoVidal Oved
 
5 La EcuacióN Contable
5 La EcuacióN Contable5 La EcuacióN Contable
5 La EcuacióN ContableVidal Oved
 
4 La Partida Doble
4 La Partida Doble4 La Partida Doble
4 La Partida DobleVidal Oved
 
3 El Balance General
3 El Balance General3 El Balance General
3 El Balance GeneralVidal Oved
 
2 La Cuenta Y CatáLogo De Cuentas
2 La Cuenta Y CatáLogo De Cuentas2 La Cuenta Y CatáLogo De Cuentas
2 La Cuenta Y CatáLogo De CuentasVidal Oved
 
1 Contabilidad, Conceptos, Principios Y Aspectos Legales
1 Contabilidad, Conceptos, Principios Y Aspectos Legales1 Contabilidad, Conceptos, Principios Y Aspectos Legales
1 Contabilidad, Conceptos, Principios Y Aspectos LegalesVidal Oved
 
Planeacion De Auditoria De Sistemas Informaticos
Planeacion De Auditoria De Sistemas InformaticosPlaneacion De Auditoria De Sistemas Informaticos
Planeacion De Auditoria De Sistemas InformaticosVidal Oved
 
Sistema Contable Y Control Interno De Una Empresa Agropecuaria.
Sistema Contable Y Control Interno De Una Empresa Agropecuaria.Sistema Contable Y Control Interno De Una Empresa Agropecuaria.
Sistema Contable Y Control Interno De Una Empresa Agropecuaria.Vidal Oved
 
Procesamiento Electronico De Datos
Procesamiento Electronico De DatosProcesamiento Electronico De Datos
Procesamiento Electronico De DatosVidal Oved
 
Dictamen Financiero Dolanier S.A De C.V 1
Dictamen Financiero Dolanier S.A De C.V 1Dictamen Financiero Dolanier S.A De C.V 1
Dictamen Financiero Dolanier S.A De C.V 1Vidal Oved
 
Diapositivas Nacot Vidal
Diapositivas Nacot VidalDiapositivas Nacot Vidal
Diapositivas Nacot VidalVidal Oved
 

Más de Vidal Oved (20)

Plazas mined 20 de febrero de 2011
Plazas mined 20 de febrero de 2011Plazas mined 20 de febrero de 2011
Plazas mined 20 de febrero de 2011
 
Transformaciones Químicas de la Materia
Transformaciones Químicas de la MateriaTransformaciones Químicas de la Materia
Transformaciones Químicas de la Materia
 
Aprendamos A Factorizar
Aprendamos A FactorizarAprendamos A Factorizar
Aprendamos A Factorizar
 
Midamos Y Construyamos Con Triangulos
Midamos Y Construyamos Con TriangulosMidamos Y Construyamos Con Triangulos
Midamos Y Construyamos Con Triangulos
 
Conozcamos Y Utilicemos El Algebra
Conozcamos Y Utilicemos El AlgebraConozcamos Y Utilicemos El Algebra
Conozcamos Y Utilicemos El Algebra
 
Utilicemos Proporcionalidad
Utilicemos ProporcionalidadUtilicemos Proporcionalidad
Utilicemos Proporcionalidad
 
8 Concepto Y ClasificacióN De Cuentas De Capital
8 Concepto Y ClasificacióN De Cuentas De Capital8 Concepto Y ClasificacióN De Cuentas De Capital
8 Concepto Y ClasificacióN De Cuentas De Capital
 
6 Concepto Y ClasificacióN De Cuentas De Activo
6 Concepto Y ClasificacióN De Cuentas De Activo6 Concepto Y ClasificacióN De Cuentas De Activo
6 Concepto Y ClasificacióN De Cuentas De Activo
 
5 La EcuacióN Contable
5 La EcuacióN Contable5 La EcuacióN Contable
5 La EcuacióN Contable
 
4 La Partida Doble
4 La Partida Doble4 La Partida Doble
4 La Partida Doble
 
3 El Balance General
3 El Balance General3 El Balance General
3 El Balance General
 
2 La Cuenta Y CatáLogo De Cuentas
2 La Cuenta Y CatáLogo De Cuentas2 La Cuenta Y CatáLogo De Cuentas
2 La Cuenta Y CatáLogo De Cuentas
 
1 Contabilidad, Conceptos, Principios Y Aspectos Legales
1 Contabilidad, Conceptos, Principios Y Aspectos Legales1 Contabilidad, Conceptos, Principios Y Aspectos Legales
1 Contabilidad, Conceptos, Principios Y Aspectos Legales
 
Planeacion De Auditoria De Sistemas Informaticos
Planeacion De Auditoria De Sistemas InformaticosPlaneacion De Auditoria De Sistemas Informaticos
Planeacion De Auditoria De Sistemas Informaticos
 
Sistema Contable Y Control Interno De Una Empresa Agropecuaria.
Sistema Contable Y Control Interno De Una Empresa Agropecuaria.Sistema Contable Y Control Interno De Una Empresa Agropecuaria.
Sistema Contable Y Control Interno De Una Empresa Agropecuaria.
 
Procesamiento Electronico De Datos
Procesamiento Electronico De DatosProcesamiento Electronico De Datos
Procesamiento Electronico De Datos
 
Dictamen Financiero Dolanier S.A De C.V 1
Dictamen Financiero Dolanier S.A De C.V 1Dictamen Financiero Dolanier S.A De C.V 1
Dictamen Financiero Dolanier S.A De C.V 1
 
Carta Oferta
Carta OfertaCarta Oferta
Carta Oferta
 
Cuanto Me Amo
Cuanto Me AmoCuanto Me Amo
Cuanto Me Amo
 
Diapositivas Nacot Vidal
Diapositivas Nacot VidalDiapositivas Nacot Vidal
Diapositivas Nacot Vidal
 

Último

Licenciatura en Pedagogia Presentacion.pptx
Licenciatura en Pedagogia Presentacion.pptxLicenciatura en Pedagogia Presentacion.pptx
Licenciatura en Pedagogia Presentacion.pptxgeomaster9
 
Repaso..................................
Repaso..................................Repaso..................................
Repaso..................................brianjars
 
Laminia_Melany_Tarea_1_La Sociedad de la Ignorancia.pdf
Laminia_Melany_Tarea_1_La Sociedad de la Ignorancia.pdfLaminia_Melany_Tarea_1_La Sociedad de la Ignorancia.pdf
Laminia_Melany_Tarea_1_La Sociedad de la Ignorancia.pdfMelanyLaminia
 
Preelaboración de alimentos. Los huevos.pdf
Preelaboración de alimentos. Los huevos.pdfPreelaboración de alimentos. Los huevos.pdf
Preelaboración de alimentos. Los huevos.pdfVictorSanz21
 
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"Tarea 1. Ensayo sobre "La sociedad de la ignorancia"
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"Oscar Tigasi
 
Teorías del Aprendizaje y paradigmas.pptx
Teorías del Aprendizaje y paradigmas.pptxTeorías del Aprendizaje y paradigmas.pptx
Teorías del Aprendizaje y paradigmas.pptxJunkotantik
 
Peñafiel_Henry _Practica _ 5 Periodo_2023_2S (1).pdf
Peñafiel_Henry _Practica _ 5 Periodo_2023_2S (1).pdfPeñafiel_Henry _Practica _ 5 Periodo_2023_2S (1).pdf
Peñafiel_Henry _Practica _ 5 Periodo_2023_2S (1).pdfHenryPeafiel3
 
Tema 2 Los minerales: los materiales de la Geosfera 2024
Tema 2 Los minerales: los materiales de la Geosfera 2024Tema 2 Los minerales: los materiales de la Geosfera 2024
Tema 2 Los minerales: los materiales de la Geosfera 2024IES Vicent Andres Estelles
 
Tarea 4. Ensayo sobre "Plagio académico"
Tarea 4. Ensayo sobre "Plagio académico"Tarea 4. Ensayo sobre "Plagio académico"
Tarea 4. Ensayo sobre "Plagio académico"elizabethauquilla123
 
la evaluación formativa Diaz Barriga.pdf
la evaluación formativa Diaz Barriga.pdfla evaluación formativa Diaz Barriga.pdf
la evaluación formativa Diaz Barriga.pdfmjvalles74
 
Impacto ambiental Green Illustrated Sustainable World
Impacto ambiental Green Illustrated Sustainable WorldImpacto ambiental Green Illustrated Sustainable World
Impacto ambiental Green Illustrated Sustainable WorldJohnCarvajal23
 
reciente evolucion de la economia china y su impacto en el mundo
reciente evolucion de la economia china y su impacto en el mundo reciente evolucion de la economia china y su impacto en el mundo
reciente evolucion de la economia china y su impacto en el mundo Carlos Alberto Aquino Rodriguez
 
Act.04_Presentación_Genially_Mas_Ingrid.pptx
Act.04_Presentación_Genially_Mas_Ingrid.pptxAct.04_Presentación_Genially_Mas_Ingrid.pptx
Act.04_Presentación_Genially_Mas_Ingrid.pptxAndrea Mas
 
Circular105_14 Secretaria General CEIP.pdf
Circular105_14 Secretaria General CEIP.pdfCircular105_14 Secretaria General CEIP.pdf
Circular105_14 Secretaria General CEIP.pdfgabitachica
 
Shaigua_Adriana_Vique_Maria_Tarea_4.pdf.
Shaigua_Adriana_Vique_Maria_Tarea_4.pdf.Shaigua_Adriana_Vique_Maria_Tarea_4.pdf.
Shaigua_Adriana_Vique_Maria_Tarea_4.pdf.majitovique21
 
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"Tarea 1. Ensayo sobre "La sociedad de la ignorancia"
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"elizabethauquilla123
 
Informe. El Observatorio Social "la Caixa"
Informe. El Observatorio Social "la Caixa"Informe. El Observatorio Social "la Caixa"
Informe. El Observatorio Social "la Caixa"mmunozgt
 
Alexander_Lasso_Marco_Garzo_Practica_N° 3.pdf
Alexander_Lasso_Marco_Garzo_Practica_N° 3.pdfAlexander_Lasso_Marco_Garzo_Practica_N° 3.pdf
Alexander_Lasso_Marco_Garzo_Practica_N° 3.pdfalexlasso65
 
Alexander_Lasso_Marco_Garzón_Tarea 3.pdf
Alexander_Lasso_Marco_Garzón_Tarea 3.pdfAlexander_Lasso_Marco_Garzón_Tarea 3.pdf
Alexander_Lasso_Marco_Garzón_Tarea 3.pdfalexlasso65
 

Último (20)

Licenciatura en Pedagogia Presentacion.pptx
Licenciatura en Pedagogia Presentacion.pptxLicenciatura en Pedagogia Presentacion.pptx
Licenciatura en Pedagogia Presentacion.pptx
 
Repaso..................................
Repaso..................................Repaso..................................
Repaso..................................
 
Laminia_Melany_Tarea_1_La Sociedad de la Ignorancia.pdf
Laminia_Melany_Tarea_1_La Sociedad de la Ignorancia.pdfLaminia_Melany_Tarea_1_La Sociedad de la Ignorancia.pdf
Laminia_Melany_Tarea_1_La Sociedad de la Ignorancia.pdf
 
Preelaboración de alimentos. Los huevos.pdf
Preelaboración de alimentos. Los huevos.pdfPreelaboración de alimentos. Los huevos.pdf
Preelaboración de alimentos. Los huevos.pdf
 
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"Tarea 1. Ensayo sobre "La sociedad de la ignorancia"
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"
 
Teorías del Aprendizaje y paradigmas.pptx
Teorías del Aprendizaje y paradigmas.pptxTeorías del Aprendizaje y paradigmas.pptx
Teorías del Aprendizaje y paradigmas.pptx
 
Peñafiel_Henry _Practica _ 5 Periodo_2023_2S (1).pdf
Peñafiel_Henry _Practica _ 5 Periodo_2023_2S (1).pdfPeñafiel_Henry _Practica _ 5 Periodo_2023_2S (1).pdf
Peñafiel_Henry _Practica _ 5 Periodo_2023_2S (1).pdf
 
Tema 2 Los minerales: los materiales de la Geosfera 2024
Tema 2 Los minerales: los materiales de la Geosfera 2024Tema 2 Los minerales: los materiales de la Geosfera 2024
Tema 2 Los minerales: los materiales de la Geosfera 2024
 
PPT: Tu amor es grande hasta los cielos IASD
PPT: Tu amor es grande hasta los cielos IASDPPT: Tu amor es grande hasta los cielos IASD
PPT: Tu amor es grande hasta los cielos IASD
 
Tarea 4. Ensayo sobre "Plagio académico"
Tarea 4. Ensayo sobre "Plagio académico"Tarea 4. Ensayo sobre "Plagio académico"
Tarea 4. Ensayo sobre "Plagio académico"
 
la evaluación formativa Diaz Barriga.pdf
la evaluación formativa Diaz Barriga.pdfla evaluación formativa Diaz Barriga.pdf
la evaluación formativa Diaz Barriga.pdf
 
Impacto ambiental Green Illustrated Sustainable World
Impacto ambiental Green Illustrated Sustainable WorldImpacto ambiental Green Illustrated Sustainable World
Impacto ambiental Green Illustrated Sustainable World
 
reciente evolucion de la economia china y su impacto en el mundo
reciente evolucion de la economia china y su impacto en el mundo reciente evolucion de la economia china y su impacto en el mundo
reciente evolucion de la economia china y su impacto en el mundo
 
Act.04_Presentación_Genially_Mas_Ingrid.pptx
Act.04_Presentación_Genially_Mas_Ingrid.pptxAct.04_Presentación_Genially_Mas_Ingrid.pptx
Act.04_Presentación_Genially_Mas_Ingrid.pptx
 
Circular105_14 Secretaria General CEIP.pdf
Circular105_14 Secretaria General CEIP.pdfCircular105_14 Secretaria General CEIP.pdf
Circular105_14 Secretaria General CEIP.pdf
 
Shaigua_Adriana_Vique_Maria_Tarea_4.pdf.
Shaigua_Adriana_Vique_Maria_Tarea_4.pdf.Shaigua_Adriana_Vique_Maria_Tarea_4.pdf.
Shaigua_Adriana_Vique_Maria_Tarea_4.pdf.
 
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"Tarea 1. Ensayo sobre "La sociedad de la ignorancia"
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"
 
Informe. El Observatorio Social "la Caixa"
Informe. El Observatorio Social "la Caixa"Informe. El Observatorio Social "la Caixa"
Informe. El Observatorio Social "la Caixa"
 
Alexander_Lasso_Marco_Garzo_Practica_N° 3.pdf
Alexander_Lasso_Marco_Garzo_Practica_N° 3.pdfAlexander_Lasso_Marco_Garzo_Practica_N° 3.pdf
Alexander_Lasso_Marco_Garzo_Practica_N° 3.pdf
 
Alexander_Lasso_Marco_Garzón_Tarea 3.pdf
Alexander_Lasso_Marco_Garzón_Tarea 3.pdfAlexander_Lasso_Marco_Garzón_Tarea 3.pdf
Alexander_Lasso_Marco_Garzón_Tarea 3.pdf
 

Evaluacion De La Seguridad De Los Sistemas Informaticos

  • 1. UNIVERSIDAD PANAMERICANA REGIONAL DE AHUACHAPAN MATERIA: AUDITORIA DE SISTEMAS CATEDRATICO: LICDO. EDGARDO ENRIQUE CASTILLO. TEMA: EVALUACIÓN DE LA SEGURIDAD DE LOS SISTEMAS INFORMATICOS. ALUMNO: JUDITH ESTER ALVAREZ PINEDA. ROXANA JANETH CACERES ALTUVE. VIDAL OVED CRUZ MULATILLO. DANILO ERNESTO HERRERA SINTIGO. LESBIA SORAIDA SANCHEZ OSORIO. AHUACHAPAN, 14 DE MAYO DE 2009.
  • 2. INDICE CONTENIDO PAGINA 1. Introducción. 3 2. Evaluacion de la seguridad de los sistemas de información. 4 3. Evaluación de la seguridad física de los sistemas. 5 4. Evaluación de la seguridad lógica del sistema. 6 5. Evaluación de la seguridad del personal del área de sistemas. 7 6. Evaluación de la seguridad de la información y las bases de datos. 8 7. Evaluación de la seguridad en el acceso y uso del software. 11 8. Evaluación de la seguridad en la operación del hardware. 15 9. Evaluación de la seguridad en las telecomunicaciones. 17
  • 3. INTRODUCCION En toda actividad se hace necesario, no sólo planear y ejecutar las actidades, sino efectuar procedimientos de control que vayan encaminados a asegurar que dichas actividades han sido ejecutadas de acuerdo a los parámetos que se habían establecido con anterioridad. En el caso particular de la Auditoría de Sistemas, se sigue el mismo proceso y si no se realiza una evaluación consciente con respecto a lo realizado, se corre el peligro que se violenten los principios de seguridad establecidos. En vista de ellos, se hace necesario evaluar la seguridad de los sistemas de información en diferentes aspectos y referidos al centro de cómputo. Entre estos aspectos podemos mencionar la seguridad física, la cual hace referencia al cuidado físico de cada uno de los componentes que intervienen e interactúan en el área de informática, tales como hardware, software, personal y otros. Al hablar de la seguridad lógica, nos referimos a que cada uno de los componentes mencionados a continuación sigan de manera correcta y metódica los procesos para los cuales fueron diseñados. Al referirnos a la seguridad del personal, se debe verificar que el personal esté seguro físicamente, así como tabién, esté capacitado y en las condiciones psicológicas adecuadas para que esté realizando su trabajo de manera efectiva. También hay aspectos referidos al hardware y software, con relación a los cuales se presenta un cuestionario escueto sobre algunos aspectos que sería determinate realizar la evaluación, ya que darían una respuestacon respecto al criterio sobre el buen uso de dichos componentes. En última instancia, se presentan aspectos sobre la seguridad de las bases de datos y de las comunicaciones, aspectos en los cuales la seguridad debe estar bien definida para responder así a las necesidades de la entidad.
  • 4. EVALUACION DE LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN. Uno de los rubros que están incrementando su popularidad dentro del ambiente informático, es el relacionado con la seguridad del área de sistemas; con ello se incrementa cada día más la necesidad de evaluar la seguridad y protección de los sistemas, ya sea en los accesos a los centros de cómputo, en el ingreso y utilización de los propios sistemas y en la consulta y manipulación de la información contenida en sus archivos, la seguridad de las instalaciones, del personal y los usuarios de sistemas, así como de todo lo relacionado con el resguardo de los sistemas computacionales. Es evidente que uno de los aspectos básicos que se deben contemplar en la evaluación de sistemas, es precisamente la protección y resguardo de la información de la empresa, tanto en el hardware como en el software, así como de los equipos adicionales que ayudan al adecuado funcionamiento de los sistemas. En esta evaluación también se incluyen el acceso al área de sistemas, el acceso al sistema, la protección y salvaguarda de los activos de esta área, las medidas de prevención y combate de siniestros, y muchos otros aspectos que se pueden valorar mediante una auditoría de sistemas. Para un mejor entendimiento de estos puntos, a continuación veremos las principales áreas de seguridad que se pueden evaluar en una auditoría de sistemas. 1. Evaluación de la seguridad física de los sistemas. 2. Evaluación de la seguridad lógica del sistema. 3. Evaluación de la seguridad del personal del área de sistemas. 4. Evaluación de la seguridad de la información y las bases de datos. 5. Evaluación de la seguridad en el acceso y uso del software. 6. Evaluación de la seguridad en la operación del hardware. 7. Evaluación de la seguridad en las telecomunicaciones. A continuación se desarrollarán los aspectos más importantes que tienen que ver con cada una de estas principales áreas:
  • 5. 1. EVALUACIÓN DE LA SEGURIDAD FISICA DE LOS SISTEMAS. La seguridad de los sistemas de información envuelve la protección de la información así como la de los sistemas computacionales usados para grabar, procesar y almacenar la información. También esta involucrada en esta sección la seguridad equipamiento adicional necesario y las personas designadas al manejo de la información. La seguridad física, se refiere por lo tanto a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. El equipamiento de las organizaciones debe estar debidamente protegido de factores físicos que los puedan dañar o mermar su capacidad de trabajo. Los equipos deben estar protegidos de daños causados por incendios, exceso de humedad, robos, sabotajes. Los equipos, físicamente no se limitan a solo las computadores y sus periféricos, también lo son calculadoras, sistemas de almacenaje externos de datos como disquetes, CDs, etc., sistemas de cableado, ruteadores. AUDITORIA DE LA SEGURIDAD FÍSICA Se evaluaran las protecciones físicas de datos, programas instalaciones, equipos redes y soportes, y por supuesto habrá que considerar a las personas, que estén protegidas y existan medidas de evacuación, alarmas, salidas alternativas, así como que no estén expuestas a riesgos superiores a los considerados admisibles en la entidad e incluso en el sector. AMENAZAS Pueden ser muy diversas: sabotaje, vandalismo, terrorismo accidentes de distinto tipo, incendios, inundaciones, averías importantes, derrumbamientos, explosiones, así como otros que afectan alas personas y pueden impactar el funcionamiento de los centros, tales como errores, negligencias, huelgas, epidemias o intoxicaciones.
  • 6. PROTECCIONES FÍSICAS ALGUNOS ASPECTOS A CONSIDERAR: Ubicación del centro de procesos, de los servidores locales, y en general de cualquier elemento a proteger. Estructura, diseño, construcción y distribución de los edificios y de sus platas. Riesgos a los accesos físicos no controlados. Amenaza de fuego, problemas en el suministro eléctrico. Evitar sustituciones o sustracción de quipos, componentes, soportes magnéticos, documentación u otros activos. 2. EVALUACIÓN DE LA SEGURIDAD LÓGICA DEL SISTEMA. La seguridad lógica, se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. AUDITORIA DE LA SEGURIDAD LOGICA Es necesario verificar que cada usuario solo pude acceder a los recursos que sele autorice el propietario, aunque sea de forma genérica, según su función, y con las posibilidades que el propietario haya fijado: lectura, modificación, borrado, ejecución, traslado a los sistemas lo que representaríamos en una matriz de accesos. En cuanto a autenticación, hasta tanto no se abaraten más y generalicen los sistemas basados en la biométrica, el método más usado es la contraseña, Cuyas características serán acordes con las normas y estándares de la entidad, que podrían contemplar diferencias para según que sistemas en función de la criticidad de los recursos accedidos. Aspectos a evaluar respecto a las contraseñas pueden ser: • Quien asigna la contraseña inicial y sucesivas. • Longitud mínima y composición de caracteres.
  • 7. Vigencia, incluso puede haberlas de un solo uso o dependientes de una función tiempo. • Control para no asignar las “x” ultimas. • Numero de intentos que se permiten al usuario. • Controles existentes para evitar y detectar caballos de Troya. 3. EVALUACIÓN DE LA SEGURIDAD DEL PERSONAL DEL ÁREA DE SISTEMAS. La seguridad del personal puede ser enfocada desde dos puntos de vista, la seguridad del personal al momento de trabajar con los sistemas informáticos, estos deben estar en óptimas condiciones para que no causen daño a las personas, y la seguridad de los sistemas informáticos con respecto al mal uso de los mismos por parte de los empleados. Ambos puntos de vista deben se considerados al momento de diseñar un sistema de seguridad. Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente: La dependencia del sistema a nivel operativo y técnico. Evaluación del grado de capacitación operativa y técnica. Contemplar la cantidad de personas con acceso operativo y administrativo. Conocer la capacitación del personal en situaciones de emergencia. CONSIDERACIONES PARA CON EL PERSONAL. Es de gran importancia la elaboración del plan considerando el personal, pues se debe llevar a una conciencia para obtener una autoevaluación de su comportamiento con respecto al sistema, que lleve a la persona a: Asumir riesgos. Cumplir promesas. Innovar
  • 8. Para apoyar estos objetivos se debe cumplir los siguientes pasos: Motivar. Se debe desarrollar métodos de participación reflexionando sobre lo que significa la seguridad y el riesgo, así como su impacto a nivel empresarial, de cargo y individual. Capacitación General. En un principio a los ejecutivos con el fin de que conozcan y entiendan la relación entre seguridad, riesgo y la información, y su impacto en la empresa. El objetivo de este punto es que se podrán detectar las debilidades y potencialidades de la organización frente al riesgo. Este proceso incluye como práctica necesaria la implantación la ejecución de planes de contingencia y la simulación de posibles delitos. Capacitación de Técnicos: Se debe formar técnicos encargados de mantener la seguridad como parte de su trabajo y que esté capacitado para capacitar a otras personas en lo que es la ejecución de medidas preventivas y correctivas. 4. EVALUACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y LAS BASES DE DATOS. AUDITORIA DE LA SEGURIDAD DE LOS DATOS La protección de los datos puede tener varios enfoques respecto a las características citadas: la confidencialidad, disponibilidad e integridad. Puede haber datos críticos en cuanto a su confidencialidad, como datos médicos u otros especialmente sensibles para la LIBERTAD (sobre religión, sexo, raza), otros datos cuya criticidad viene dada por la disponibilidad; si se pierden o se pueden utilizar a tiempo pueden causar perjuicios graves
  • 9. y en los casos más extremos, poner en peligro la comunidad de la entidad y finalmente otros datos críticos atendiendo a su integridad, especialmente cuando su perdida no puede detectarse fácilmente o una vez detectada no es fácil reconstruirlos. Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede incluir preparación, autorización, incorporación al sistema: por el cliente, por empleados, o bien ser captado por otra forma, y debe revisarse como se verifican los errores. Proceso de los datos: Controles de validación, integridad, almacenamiento: que existan copias suficientes, sincronizadas y protegidas. Salida de resultados: Controles en transmisiones, en impresión, en distribución. Retención de la información y protección en funciona de su clasificación: Destrucción de los diferentes soportes que la contengan cuando ya no sea necesaria, o bien desmagnetización. Designación de propietarios: Clasificación de los datos, restricción de su uso para pruebas, inclusión de muescas para poder detectar usos no autorizados. Clasificación de los datos e información: Debe revisarse quien la ha realizado y según que criterios y estándares; no suele ser práctico que haya más de cuatro o cinco niveles. Cliente-servidor: Es necesario verificar los controles en varios puntos, y no solo en uno central como en otros sistemas, y a veces en plataformas heterogéneas, con niveles y características de seguridad muy diferentes, y con posibilidad de transferencia de ficheros o de captación y exportación de datos que pueden perder sus protecciones al pasar de una plataforma a otra.
  • 10. Los datos son el corazón de los sistemas informáticos por tanto estos deben ser celosamente cuidados y manejados. La protección de la integridad, disponibilidad y confidencialidad de los mismos debe ser el objetivo principal de todo sistema de seguridad informático. Confidencialidad: La confidencialidad de los sistemas informáticos se refiere básicamente a la accesibilidad de la información, se deben establecer niveles de accesibilidad que guarden relaciones coherentes entre el usuario, su rol en la organización y el grado de profundidad al que puede llegar al momento de desplegar la información. Integridad: El concepto de integridad hace referencia a la protección de los datos de modificaciones y/o alteraciones de los mismos. Solo aquellas personas autorizadas podrán hacer modificaciones a los datos almacenados. Disponibilidad: Esta se puede definir como la disposición de información que las personas autorizadas tienen al momento de necesitarlas. Si la información que el personal requiere para realizar un trabajo no se encuentra disponible entonces dicho trabajo no se podrá realizar o por lo menos se retrazara su conclusión. Validez: Un dato es valido cuando este refleja con exactitud, precisión y de forma completa la información que transmite. Este concepto se encuentra estrechamente ligado con el de integridad, si la integridad de un dato es violada entonces así lo será también su validez. Autenticidad: Este concepto hace referencia a la modificación fraudulenta de la información, por ejemplo, una transacción puede ser ingresada dentro de un sistema contable computarizado por una persona no autorizada a hacer, el dato ingresado puede cumplir con el requisito de validez pero no con el de autenticidad ya que no fue ingresado por la persona autorizada.
  • 11. Privacidad: "Normalmente los conceptos de privacidad, confidencialidad y seguridad se confunden. Privacidad hace referencia al concepto particular y personal del uso de la información. Confidencialidad es una clasificación particular del grado de exposición de datos. Exactitud: Este concepto hace referencia al mantenimiento de una relación legítima entre lo que un dato es y lo que representa. Por ejemplo, un dato que representa monto de préstamos debe representar exactamente el monto prestado, éste no puede ser mayor o menor, deber ser el que represente fielmente la realidad. 5. EVALUACIÓN DE LA SEGURIDAD EN EL ACCESO Y USO DEL SOFTWARE. Cuando buscamos evaluar la seguridad en la operación del software, debemos identificar las principales vulnerabilidades del software de la entidad, entre los cuales, mencionamos los aspectos siguientes: Errores de aplicaciones. Errores de sistemas operativos. Rutinas de acceso no autorizados. Servicios no autorizados. A continuación se presenta un custionario que podría ser resuelto al momento de evaluar la seguridad en cuanto al software utilizado en los sistemas de información: 1. Se tienen políticas y procedimientos relativos al uso y protección del software existentes? 1.1 Si las hay, indique si los siguientes aspectos de seguridad están formalmente identificados. Administración del software. Sistemas operativos, utilerías, paquetes, etc. Cuantificación del software (Original y copias).
  • 12. Descripción (Por original). Distribución (Cuál es la localización). Registro del software instalado, dado de baja, en proceso de adquisición, etc. Uso del software. Procedimientos y controles de seguridad para la evaluación, selección y adquisición de software. Otros. 2. Diga si poseen políticas relacionadas con el ingreso y salida del software que aseguren al menos lo siguiente: Que el software que salga de la empresa sea: • Revisado (contenido, cantidad, destino). • Esté registrado formalmente en la empresa. • Justificado. • Aprobado por el responsable de informática. • Registrado (quién y a qué hora lo sacó). • Devuelto (comparado con fecha de devolución). • Devuelto en las mismas condiciones en que salió. Que el software que ingrese a la empresa sea: • Revisado (contenido, cantidad, destino). • Esté registrado formalmente en la empresa. • Justificado. • Aprobado por el responsable de informática. • Registrado (quién y a qué hora lo metió). • Devuelto (comparado con fecha de devolución). • Devuelto en las mismas condiciones que tenía en la salida.
  • 13. 3. En cuanto a las aplicaciones (sistemas de información) que se desarrollan en la empresa, ¿se tienen los controles y procedimientos necesarios para garantizar la seguridad mínima requerida? 3.1 En caso de que existan, ¿al menos contemplan lo siguiente? • Procedimiento de llenado de documentos fuente. • Procedimiento de uso de la computadora. - Encendido e inicialización del equipo. - Reinicialización del equipo en el caso de fallas. - Manejo de bitácoras en el uso de la computadora. - Monitoreo de uso de la computadora. • Niveles de acceso (perfil de usuarios) al módulo de: - Captura. - Actualización. - Consulta. - Generación de reportes. - Respaldo. - Otros. • Procedimientos de uso de los módulos de: - Captura. - Actualización. - Consulta. - Generación de reportes. - Respaldo. - Otros. 4. ¿Existen procedimientos que verifiquen que la construcción (programación), prueba e implantación de los controles y procedimientos de seguridad sean formalmente aprobados antes de que se utilice el sistema? 5. ¿Participan funciones de control o evaluación de sistemas, como auditores o consultores, en la aprobación de los controles de seguridad de los sistemas antes que sean formalmente aprobados por los usuarios?
  • 14. 5.1 Si es así, ¿en qué etapas de desarrollo participan? 5.2 Se involucran en todos los proyectos de desarrollo? 6. Mencione si los controles aseguran que el sistema contemple los procedimientos necesarios para que la información manejada en el mismo, sea total, exacta, autorizada, mantenida y actualizada. 6.1 ¿Existen procedimientos para comprobar que los totales de los reportes de validación del usuario concuerden con los totales de validación de los sistemas computarizados? 6.2 ¿Los documentos fuente por capturar llevan preimpresos los números consecutivos o se los asigna el usuario? 7. En cuanto al mantenimiento de sistemas señale si se cuenta con un procedimiento formal para asegurar que los cambios efectuados en los sistemas sean: • Justificados. • Descritos. • Probados en el área de desarrollo antes de ser trasladados al área de producción. • Revisados por funciones de control. • Aprobados por los responsables correspondientes antes de ser puestos en operación. • Implantados los controles de seguridad de dichos cambios. • Otros. 8. ¿Hay un proceso formal para asegurar que los requerimientos de los departamentos usuarios sean registrados, justificados, programados, probados e implantados de acuerdo con los estándares de la metodología del CVDS? 9. ¿Cómo se da seguimiento a los cambios de los sistemas sugeridos por la función de informática?
  • 15. 10. ¿Existen procedimientos que permiten identificar con claridad las responsabilidades en cuanto al uso del sistema y equipo de cómputo donde será implantado y operado? 6. EVALUACIÓN DE LA SEGURIDAD EN LA OPERACIÓN DEL HARDWARE. Cuando buscamos evaluar la seguridad en la operación del hardware, debemos identificar las principales vulnerabilidades de hardware, las cuales podemos mencionar a continuación: Inapropiada operación. Fallas en mantenimiento. Inadecuada seguridad física. Falta de protección contra desastres naturales. A continuación se presenta un cuestionario de los probables aspectos a evaluar con relación al hardware: 1. Hay políticas y procedimientos relativos al uso y protección del hardware de la organización. 1.1 Si existen, indique si están formalmente identificados los siguientes aspectos de seguridad. Administración del hardware. Micros, minis y super computadoras. Tecnología de comunicaciones, redes y otros. Cuantificación del hardware. Descripción del hardware (Características básicas). Distribución del hardware (Ubicación física). Areas de informática: departamentos, usuarios y áreas locales y remotas. Registro del hardware instalado, dado de baja, en proceso de adquisición, etc.
  • 16. Uso del hardware: desarrollo, operación, mantenimiento, monitoreo y toma de decisiones. Funciones responsables del control del hardware. Procedimientos y controles de seguridad parala evaluación, selección y adquisición de hardware. Otros. 2. En cuanto al equipo de soporte, se han de tener los siguientes datos: Localización física de: • Aire acondicionado. • Equipos contra incendios. • Otros. 3. ¿La ubicación física del equipo de cómputo en el edificio es la más adecuada pensando en los diversos desastres o contingencias que se pueden presentar (Manifestaciones o huelgas, inundaciones, incendios y otros). 4. ¿Hay procedimientos que garanticen la continuidad y disponibilidad del equipo de cómputo en caso de desastres y contingencias? Si es así, están documentados y difundidos formalmente? 5. Indique si se cuenta con controles y procedimientos para: Clasificación y justificación del personal con acceso a los centros de cómputo del negocio y a las oficinas donde se encuentra papelería o accesorios relacionados con informática. Restringir el acceso a los centros de cómputo sólo al personal autorizado. Definición y difusión de las horas de acceso al centro de cómputo. Uso y control de bitácoras de acceso a los centros de cómputo. 6. ¿Existe personal de seguridad encargado de la salvaguarda de los equipos de cómputo de la empresa?
  • 17. 6.1 Fue capacitado el personal para este trabajo o simplemente sigue las normas de seguridad que se aplican en bancos e industrias? 6.2 Si no se cuenta con tal personal, ¿A qué área o función pertenecen los responsables de proteger físicamente el equipo? 7. Mencione si existen políticas relacionadas con el ingreso y salida del hardware que aseguren al menos lo siguiente: Que la entrada y salida del hardware sea: • Revisada. • Justificada. • Aprobada por el responsable de informática que va a recibirla. • Registrada. • Devuelta. • Devuelta en las mismas condiciones de entrada. • Devolución autorizada por medio de un responsable de informática. 8. ¿Existe alguna función de investigación, auditoría o seguridad que se dedique a la evaluación permanente de software, métodos, procedimientos, etc., sugeridos en el mercado (como conferencias, publicaciones, asesores, investigaciones) para la implantación de nuevas acciones relativas a la seguridad que brinden continuidad en la operación y cuidado de los recursos relacionados con informática? 8.1 Si es así, ¿cuáles son las actividades principales que se asignan a esta tarea? 8.2 En caso de que lo anterior no ocurra, ¿qué acciones garantizan la adecuación de los controles y procedimientos de seguridad en el momento de implantar nuevas tecnologías? 7. EVALUACIÓN DE LA SEGURIDAD EN LAS TELECOMUNICACIONES. AUDITORIA DE LA SEGURIDAD EN COMUNICACIONES Y REDES
  • 18. En las políticas de entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por seguridad y por productividad, talvez salvo emergencias concretas si allí se ha especificado y mas bien para comunicaciones con voz. Los usuarios tendrán restricción de accesos según dominios, únicamente podrán cargar los programas autorizados, y solamente podrán variar las configuraciones y componentes los técnicos autorizados. Se revisaran especialmente las redes cuando existan repercusiones económicas por que se trate de transferencia de fondos o comercio electrónico. Puntos a revisar: • Tipos de redes y conexiones • Tipos de transacciones. • Tipos de terminales y protecciones: físicas, lógicas, llamadas de retorno. • Transferencia de ficheros y controles existentes. • Consideración especial respecto a las conexiones externas a través de pasarelas (gateway) y encaminadores (routers). INTERNET E INTRANET: separación de dominios e implantación de medidas especiales, como normas y cortafuegos (firewall), y no solo en relación con la seguridad, sino por accesos no justificados por la función desempeñada, como a páginas de ocio o eróticas, por lo que pueden suponer para la productividad. CORREO ELECTRÓNICO: tanto por privacidad y para evitar virus como para que el uso del correo sea adecuado y referido ala propia función, y no utilizado para fines particulares. PROTECCIÓN DE PROGRAMAS: y tanto la prevención del uso no autorizado de programas propiedad de la entidad o de los que tengan licencia de uso. CONTROL SOBRE LAS PAGINAS WEB: quien puede modificarlo y desde donde, finalmente preocupan también los riesgos que pueden existir en el comercio electrónico.
  • 19. Vulnerabilidades de comunicaciones: inadecuados controles de acceso a la red, inadecuados mecanismos para prevenir fallas en comunicaciones.