Auditora de Sistemas

UNIDAD IV - SEGURIDAD

Grupo 4 - Integrantes:

Anibal Ernesto Gautreaux Vittini /2013-0431

Jos Guillermo Jimnez Perdomo /2006-2168

Contenido
Introduccin a la Seguridad...........................................................................3
Seguridad......................................................................................................... 3
Tipos de Seguridad a nivel General..............................................................4
Tipos de Seguridad Informtica....................................................................4
Seguridad Lgica y Confidencial...................................................................5
Seguridad lgica........................................................................................... 5
Confidencialidad........................................................................................... 5
Seguridad en el Personal............................................................................... 6
Seguridad Fsica.............................................................................................. 7
Auditoria de Seguridad Lgica......................................................................7
Seguros de Sistemas...................................................................................... 8
Plan de Contingencia...................................................................................... 9
Fases:............................................................................................................. 9
Acciones....................................................................................................... 10

Introduccin a la Seguridad

Los riesgos, en trminos de seguridad, se caracterizan por lo general

mediante la siguiente ecuacin.

La amenaza representa el tipo de accin que tiende a ser daina.

La vulnerabilidad, representa el grado de exposicin a las amenazas en
un contexto particular
La contramedida representa todas las acciones que se implementan
para prevenir la amenaza.

Seguridad
Podramos definir la Seguridad como la ausencia de riesgos, o confianza
en algo o alguien. La seguridad empresarial se refiere al conjunto de
medidas tendentes a garantizar que los empleados realicen sus
actividades libres de riesgos y al mismo tiempo salvaguardando los
dems activos de la empresa, incluyendo por supuesto la informacin.

Tipos de Seguridad a nivel General

bioseguridad
seguridad ciudadana
seguridad humana
seguridad informtica
seguridad jurdica
seguridad laboral
seguridad pblica
seguridad social
seguridad vial
seguridad bancaria

seguridad

seguridad

seguridad

seguridad
informacin

seguridad

seguridad

seguridad

seguridad

seguridad

privada
electrnica
corporativa
de
penitenciaria
urbana
portuaria
aeroportuaria
hotelera

la

Tipos de Seguridad Informtica

Seguridad Fsica
o Programas
o Instalaciones
o Equipos
o Redes
o Dispositivos de Proteccin de Datos
o Personas
Seguridad Lgica
Seguridad de los Datos
Seguridad en el Desarrollo de Aplicaciones
Seguridad en Redes y Comunicaciones

Seguridad Lgica y Confidencial

Seguridad lgica
Se refiere a la seguridad en el uso de software y los sistemas, la
proteccin de los datos, procesos y programas, as como la del acceso
ordenado y autorizado de los usuarios a la informacin.
Los principales objetivos que persigue la seguridad lgica son:
Restringir el acceso a los programas y archivos
Asegurar que se estn utilizando los datos, archivos y programas
correctos en y por el procedimiento correcto.

Confidencialidad
Servicio de seguridad o condicin que asegura que la informacin no
pueda estar disponible o ser descubierta por o para personas, entidades
o procesos no autorizados. Tambin puede verse como la capacidad del
sistema para evitar que personas no autorizadas puedan acceder a la
informacin almacenada en l.
Mecanismos para salvaguardar la confidencialidad de los datos:
El uso de tcnicas de control de acceso a los sistemas.
El cifrado de la informacin confidencial o de las comunicaciones.

Seguridad en el Personal
Se refiere a Seguridad en los siguientes aspectos:

Proteger a las personas

Condiciones de Trabajo adecuadas
Accesos

Seguridad en cuanto al personal, se refiere a brindar en la empresa las

condiciones adecuadas a las personas para que puedan realizar su
trabajo de una manera ptima, tomando en consideracin sobre todo
que sean seguras. Se toma en cuenta aspectos como:
Iluminacin

Comodidad
Ubicacin
Ambientacin
Sealizacin de rutas de evacuacin
Control de Accesos a determinadas zonas

Seguridad Fsica
La seguridad fsica consiste en la aplicacin de barreras fsicas, y
procedimientos de control como medidas de prevencin y contra
medidas ante amenazas a los recursos y la informacin confidencial, se
refiere a los controles y mecanismos de seguridad dentro y alrededor de
la obligacin fsica de los sistemas informticos as como los medios de
acceso remoto al y desde el mismo, implementados para proteger el
hardware y medios de almacenamiento de datos. Cada sistema es nico,
por lo tanto la poltica de seguridad a implementar no sera nica es por
ello siempre se recomendara pautas de aplicacin general y no
procedimientos especficos.

Auditoria de Seguridad Lgica

La Seguridad Lgica es la aplicacin de controles, barreras y
procedimientos que sirvan para resguardar el acceso a los datos y que
solo tengan acceso las personas autorizadas.
A que Data puede tener acceso un usuario
Datos de Nmina (salario del Gerente General)
Datos Financieros (estado de ganancias y perdidas)
Que cosas puede hacer con esa data.
Ver, Insertar, Modificar, Eliminar
Como accede a esa data
Claves de Acceso para la red, para los sistemas
Reglas de creacin de claves
Numero de intentos
Tiempo de vigencia de las claves
Polticas de control para acceso
Software que permita gestionar la seguridad

Seguros de Sistemas
Cuando nos enfrentamos a la implantacin de un Sistema de Gestin de
Seguridad de la Informacin (SGSI), y ya hemos logrado determinar
cuales son los riesgos fundamentales, hemos de decidir de qu manera
vamos a actuar contra esos riesgos.
Las diferentes posibilidades de actuacin ante un riesgo son:
Asumir el riesgo: se acepta el riego potencial sin tomar medidas.
Evitar el riesgo: si la prestacin de un servicio supone un gran riesgo, el
servicio se deja de prestar.

Gestionar el riesgo: establecimiento de una serie de controles y

contramedidas que permiten mitigar o limitar el riesgo a unos niveles
aceptables.
Transferir el riesgo: se traspasa el riesgo a otra compaa (contrato de
outsourcing, pliza de seguro) .
La pliza deber cubrir varios aspectos de la Seguridad de la
Informacin; y deber estar dividida en mdulos o apartados que
permitan adaptarla con facilidad a las diferentes situaciones. Los
apartados fundamentales son los siguientes:
Instalaciones y equipos: cubrir los daos a las instalaciones de proceso
de informacin y equipamiento correspondiente.
Recuperacin de datos: cubrir los daos a los medios de
almacenamiento y a la informacin almacenada en ellos, tanto on-line y
off-line (en funcionamiento o no) como en trnsito. Las polticas debern
explicitar que toda informacin que vaya a transitar de un lugar a otro,
deber ser previamente copiada o escaneada (documentacin en papel).
Gastos extra: destinado a cubrir aquellos gastos extras necesarios para
restablecer las operaciones. Contratacin de personal o compaas
especializadas, compra de equipamiento, etc.
Interrupcin del negocio: deber cubrir la prdida de beneficios netos
producida por la ocasional interrupcin momentnea del negocio.
Valor de la documentacin no informatizada: cubrir por el valor
declarado de la documentacin no informatizada que se haya quedado
daada o perdida definitivamente.
Errores y omisiones: deber cubrir econmicamente y con proteccin
legal ante un posible error, omisin o negligencia de un profesional que
cause daos a un cliente.

Plan de Contingencia
Este plan es una respuesta a situaciones hipotticas donde se pudiera
ver comprometida la
Operativa del negocio. El objetivo de este es garantizar la continuidad
de las actividades

Criticas de la empresa y salvaguardar la informacin

Algunos ejemplos de situaciones a las que se les d respuesta en un
plan de contingencia
Caida de un Sistema
Perdida de Datos
Falla de equipos
Daos en equipos del CPD (aire acond., UPS, Switch, Router, etc)
Falla en Servicio telefnico

Fases:

Preparacin
Mitigacin
Respuesta a la emergencia
Recuperacin

Que es necesario para preparar un Plan de Contingencia?

Anlisis de Riesgos, calificarlos, cuantificarlos, plan de accin

Identificar elementos crticos: Aplicaciones, personal, hardware

Acciones
Actualizacin continua de los sistemas
Bsqueda de equipos alternativos
Lneas de comunicacin secundarias
Resguardo de los respaldos en lugares seguros fuera de la
empresa
Adquirir sistemas contra incendios para el CPD apropiados para
este