UNIDAD 4 TEMA 4.5: OPERACIÓN Y SEGURIDAD
SANCHEZ
PATRACA RITA ANAID
ZEPAHUA
IXMATLAHUA IRINEO
OAXACA
ARENAS LETICIA
OROZCO
ORTEGA IVAN
SEGURIDAD
La seguridad de este algoritmo
radica en que no hay maneras rápidas conocidas de factorizar un número grande en
sus factores primos utilizando computadoras tradicionales.
El descifrado completo de un
texto cifrado con RSA es computacionalmente intratable, no se ha encontrado un
algoritmo eficiente todavía para solucionar este problema.
Cifrado de mensajes: Ejemplo
Bob quiere enviar a Alicia un
mensaje secreto que solo ella pueda leer. Alicia envía a Bob una caja con una
cerradura abierta, de la que solo Alicia tiene la llave. Bob recibe la caja,
escribe el mensaje, lo pone en la caja y la cierra con su cerradura. Bob envía
la caja a Alicia y ella la abre con su llave. En este ejemplo, la caja con la
cerradura es la clave pública de Alicia, y la llave de la cerradura es su clave
privada.
Modelo matemático base
c: Texto Cifrado
m: Mensaje
e: Exponente Público (Encriptar)
d: Exponente Privado
(Desencriptar)
n: p*q
p y q: Números primos de la clave
privada
Ponente: JohnyRequeLlumpo
[email_address] Auditoría de una Red Física
En general, muchas veces se parte
del supuesto de que si no existe acceso físico desde el exterior a la red
interna de una empresa las comunicaciones internas quedan a salvo. Debe
comprobarse que efectivamente los accesos físicos provenientes del exterior han
sido debidamente registrados, para evitar estos accesos. Debe también
comprobarse que desde el interior del edificio no se intercepta físicamente el
cableado.
En caso de desastre, bien sea
total o parcial, ha de poder comprobarse cuál es la parte del cableado que
queda en condiciones de funcionar y qué operatividad puede soportar. Ya que el
tendido de cables es una actividad irrealizable a muy corto plazo, los planes
de recuperación de contingencias deben tener prevista la recuperación en
comunicaciones.
Conceptos Previos
Ha de tenerse en cuenta que la
red física es un punto claro de contacto entre la gerencia de comunicaciones y
la gerencia de mantenimiento general de edificios, que es quien suele aportar
electricistas y personal profesional para el tendido físico de cables y su
mantenimiento.
Se debe garantizar que exista:
Áreas de equipo de comunicación
con control de acceso.
Protección y tendido adecuado de
cables y líneas de comunicación para evitar accesos físicos.
Control de utilización de equipos
de prueba de comunicaciones para monitorizar la red y el tráfico en ella.
Prioridad de recuperación del
sistema.
Control de las líneas
telefónicas.
Conceptos Previos
Se debe comprobar que:
El equipo de comunicaciones ha de
estar en un lugar cerrado y con acceso limitado.
La seguridad física del equipo de
comunicaciones sea adecuada.
Se tomen medidas para separar las
actividades de los electricistas y de cableado de líneas telefónicas.
Las líneas de comunicación estén
fuera de la vista.
Se dé un código a cada línea, en
vez de una descripción física de la misma.
Haya procedimientos de protección
de los cables y las bocas de conexión para evitar fallas en la red.
Existan revisiones periódicas de
la red buscando errores y/o daños a la misma.
El equipo de prueba de
comunicaciones ha de tener unos propósitos y funciones específicas.
Existan alternativas de respaldo
de las comunicaciones.
Con respecto a las líneas
telefónicas: No debe darse el número como público y tenerlas configuradas con
retro llamada, código de conexión o interruptores.
SISTEMA INTEGRAL DE SEGURIDAD
Un
sistema integral debe contemplar:
v Definir
elementos administrativos
v Definir políticas de seguridad
v A nivel departamental
v A nivel institucional
v Organizar y dividir las responsabilidades
v Contemplar la seguridad física contra
catástrofes (incendios, terremotos, inundaciones, etc.)
Definir
prácticas de seguridad para el personal:
v Plan
de emergencia (plan de evacuación, uso de recursos de emergencia como
extinguidores.
v Números telefónicos de emergencia
v Definir el tipo de pólizas de seguros
v Definir elementos técnicos de procedimientos
Definir las necesidades de
sistemas de seguridad para:
v Hardware y software
v Flujo de energía
v Cableados locales y externos
v Aplicación de los sistemas de seguridad
incluyendo datos y archivos
v Planificación de los papeles de los auditores
internos y externos
v Planificación de programas de desastre y sus
pruebas (simulación)
v Planificación de equipos de contingencia con
carácter periódico
v Control de desechos de los nodos importantes
del sistema:
v Política de destrucción de basura copias,
fotocopias, etc.
v Consideración de las normas ISO 14000
v Etapas
para Implementar un Sistema de Seguridad
PLAN DE SEGURIDAD IDEAL (O NORMATIVO)
Un
plan de seguridad para un sistema de seguridad integral debe contemplar:
v El plan de seguridad debe asegurar la
integridad y exactitud de los datos
v Debe permitir identificar la información que
es confidencial
v Debe contemplar áreas de uso exclusivo
v Debe proteger y conservar los activos de
desastres provocados por la mano del hombre y los actos abiertamente hostiles
v Debe asegurar la capacidad de la organización
para sobrevivir accidentes
v Debe proteger a los empleados contra
tentaciones o sospechas innecesarias
v Debe contemplar la administración contra
acusaciones por imprudencia
BENEFICIOS DE UN SISTEMA DE SEGURIDAD
Los beneficios de un sistema de seguridad
bien elaborado son inmediatos, ya que el la organización trabajará sobre una
plataforma confiable, que se refleja en los siguientes puntos:
v Aumento de la productividad.
v Aumento de la motivación del personal.
v Compromiso con la misión de la compañía.
v Mejora de las relaciones laborales.
v Ayuda a formar equipos competentes.
v Mejora de los climas laborales para los RR.HH.
2.3
INVESTIGACION PRELIMINAR
Se
deberá observar el estado general del área, su situación dentro de la
organización, si existe la información solicitada, si es o no necesaria y la
fecha de su última actualización.
Se
debe hacer la investigación preliminar solicitando y revisando la información de
cada una de las áreas basándose en los siguientes puntos:
*
Administración
*
Sistemas
4.- EVALUACIÓN DE LA SEGURIDAD.
4.1GENERALIDADES DE LA SEGURIDAD DEL
ÁREA FÍSICA
Durante
mucho tiempo se considero que los procedimientos de auditoría y seguridad era responsabilidad
de la persona que elabora los sistemas, sin considerar que es responsabilidad
del área de informática en cuanto a la utilización que se le da a la
información y a la forma de accesarla y
del departamento de auditoría interna en cuanto a la supervisión y diseño de
los controles necesarios. La seguridad del área de informática tiene como
objetivos:
•
Proteger la integridad, exactitud y confidencialidad de la información
•Proteger
los activos ante desastres provocados por la mano del hombre y de actos
hostiles
•Proteger
la organización contra situaciones externas como desastres naturales y
sabotajes
•En
caso de desastre, contar con los planes y políticas de contingencias para
lograr una pronta recuperación
•Contar
con los seguros necesarios que cubran las pérdidas económicas encaso de
desastre. Los motivos de los delitos por computadora normalmente son por:
•Beneficio
personal
•Beneficios
para la organización
•Síndrome
de Robín Hood (por beneficiar a otra persona)
•Jugando
a jugar Auditoria Informática
•Fácil
de desfalcar
•El
individuo tiene problemas financieros
•La
computadora no tiene sentimientos
•El
departamento es deshonesto odio a la organización
•Equivocación
de ego
•Mentalidad
turbada Se consideran que hay cinco factores que han permitido el incremento de
los crímenes por computadora
•El
aumento del número de personas que se encuentran estudiando computación
•El
aumento del número de empleados que tienen acceso a los equipos
•La
facilidad en los equipos de cómputo
•El
incremento en la concentración del número de aplicaciones y, consecuentemente,
de la información.
En
la actualidad las compañías cuentan con grandes dispositivos para seguridad
física de las computadoras, y se tiene la idea que los sistemas no puedan ser
violados si no se entra en el centro de cómputo, olvidando que se pueden usar
terminales y sistemas de teleproceso.
4.2.- SEGURIDAD LÓGICA Y CONFIDENCIAL
.Se
encarga de los controles de acceso que están diseñados para salvaguardar la
integridad de la información almacenada de una computadora, así como controlar
el mal uso de su información. Estos controles reducen el riesgo de caer en
situaciones adversas. seguridad lógica se encarga de controlar y salvaguardar
la información generada por los sistemas, por el software de desarrollo y por
los programas en aplicación; identifica individualmente a cada usuario y sus
actividades en el sistema, y restringe el acceso a datos, a los programas de
uso general, de uso especifico, e la redes y terminales. La falta de seguridad
lógica o su violación puede traer las siguientes consecuencias a la
organización:
•
Cambio de los datos antes o cuando se le da entrada a la computadora
•
Copias de programas y/o información
•
Código oculto en un programa
•
Entrada de virus
El
tipo de seguridad puede comenzar desde una simple llave de acceso (contraseñas)
hasta los sistemas más complicados, pero se debe evaluar que cuanto más
complicados sean los dispositivos de seguridad más costosos resultan. Los
sistemas de seguridad normalmente no se consideran la posibilidad defraude
cometida por los empleados en el desarrollo de sus funciones. Un método eficaz
para proteger los sistemas de computación el software de control de acceso.
Estos paquetes de control de acceso protegen contra el acceso no autorizado, pues
piden al usuario una contraseña antes de permitirle el acceso a información
confidencial. El sistema integral de seguridad debe comprender:
•Elementos administrativos
•Definición de una política
de seguridad Auditoria
•Organización y división de
responsabilidades
4.3.-
SEGURIDAD PERSONAL
Uno
de los punto más importantes a considerar para poder definir la seguridad de un
sistema es el grado de actuación que puede tener un usuario dentro de un
sistema, ya que la información se encuentra en un archivo normal o en una base
de datos, o bien que se posea una minicomputadora, o un sistema de red. Para
esto podemos definir los siguientes tipos de usuarios:
•Propietario.-
Es el dueño de la información y responsable de ésta, y puede realizar cualquier
función:
•Administrador.-
Solo puede actualizar o modificar el software con la debida autorización
•Usuario
principal.- Esta autorizado por el propietario para hacer modificaciones,
cambios, lecturas y utilización de los datos, pero no da autorización para que
otros usuarios entren
•Usuario
de consulta.- Solo puede leer la información
•Usuario
de explotación.- Puede leer la información y usarla para explotación de la
misma
•Usuario
de auditoría.- Puede usar la información y rastrearla dentro del sistema para
fines de auditoría Se recomienda que solo exista un usuario propietario y que
el administrador sea una persona designada por la gerencia de informática.
4.4.- CLASIFICACIÓN DE LOS CONTROLES DE
SEGURIDAD
El
gran crecimiento de las redes, interconexiones y telecomunicaciones en general,
incluido el uso de Internet de forma casi corriente, ha demostrado que la
seguridad física no lo es todo. Es un punto que debe complementarse
necesariamente con la implementación de controles para la seguridad lógica
delos sistemas y computadoras. Es esa tendencia de interconexión de redes con
otras redes, o de una simple PC a Internet la que nos da la pauta de que aún si
usamos tarjetas electrónicas para acceder a nuestra oficina, hay otras puertas
traseras mucho menos evidentes que debemos controlar porque nuestros sistemas
están virtualmente a la espera de que alguien intente utilizarlos. Los
controles:
•Identificación
y autenticación de usuarios.- Identificación es el proceso de distinguir una
persona de otra; y autenticación es validar por algún medio que esa persona es
quien dice ser.
•Los
controles biométricos:
○Huellas
dactilares
○Patrones
de la retina
○Geometría
de la mano
○Dinámica
de la firma
○Patrones
de la voz
•Programas
de control de acceso.- Programas diseñados para administrar los permisos de
acceso a los recursos del sistema de información.
•Controles
para el software.- Sirven para asegurar la seguridad y confiabilidad del
software.
•Controles
para el hardware.- Controles que aseguran la seguridad física y el correcto funcionamiento
del hardware de cómputo.
4.5.- SEGURIDAD DE LOS DATOS Y SOFTWARE
DE APLICACIÓN
Ruta
de acceso
El
acceso a la computadora no significa tener una entrada sin restricciones.
Limitar el acceso sólo a los niveles apropiados puede proporcionar una mayor
seguridad.
Cada
uno de los sistemas de información tiene una ruta de acceso, la cual puede
definirse como la trayectoria seguida en el momento de acceso al sistema. Como
se ha señalado, un usuario puede pasar por uno o múltiples niveles de seguridad
antes de obtener el acceso a los programas y datos. Los tipos derestricciones
de acceso son:
•
Sólo de lectura
•
Sólo de escritura
•Lectura
y consulta
Lectura
y escritura, para crear, actualizar, borrar, ejecutar o copiar El esquema de
las rutas de acceso sirve para identificar todos los puntos de control que
pueden ser usados para proteger los datos en el sistema.
Software
de control de acceso
Este
puede ser definido como el software diseñado para emitir el manejo de control y
acceso a los siguientes recursos.
•Programas
de librerías
•Archivos
de datos
•Jobs
•Programas
de aplicación
•Módulos
de funciones
•Utilerías
•Diccionario
de datos
•Archivos
•Programas
•Comunicación
Controla
el acceso a la información, grabando e investigando los eventos realizados y el
acceso a los recursos, por medio de identificación del usuario. El software de
control de acceso tiene las siguientes funciones:
•Definición
de usuarios
•Definición
de las funciones del usuario después de accesar el sistema
El
software de seguridad protege los recursos mediante la identificación de los
usuarios autorizados con llaves de acceso, que son archivadas y guardadas por
este software. Algunos paquetes de seguridad pueden ser usados para restringir
el acceso a programas, librerías y archivo de datos; otros pueden limitar el
uso de terminales o restringir el acceso a base de datos. La mayor ventaja del
software de seguridad es la capacidad de proteger los recursos de acceso no
autorizados, incluyendo los siguientes:
•Proceso
en espera de modificación por un programa de aplicación
•Acceso
por los editores en línea
•Acceso
por utilerías de software
•Acceso
a archivos de las base de datos
•Acceso
a terminales o estaciones no autorizadas
Existen
otros tipos de software de control de acceso como son los siguientes:
•Sistemas
operativos
•Manejadores
de base de datos
•Software
de consolas o terminales maestras
•Software
de librerías software de utilerías
•Telecomunicaciones
4.6.- CONTROLES PARA EVALUAR SOFTWARE DE
APLICACIÓN
Controles
del software de seguridad general
Aplican
para todos los tipos de software y recursos relacionados y sirven para:
•El
control de acceso a programas y a la instalación
•Vigilar
los cambios realizados
•Controles
de acceso a programas y datos
•Cambios
realizados
○Diseño
y código de modificaciones
○Coordinación
de otros cambios
○Asignación
de responsabilidades
○Revisión
de estándares y aprobación
○Requerimientos
mínimos de prueba
○Procedimientos
del respaldo en el evento de interrupción
Controles
de software especifico
Se presentan algunos de los controles usados
por los diferentes tipos de software específico:
•El
acceso al sistema debe de ser restringido para individuos no autorizados
•Se
debe controlar el acceso a los proceso y a las aplicaciones permitiendo a los
usuarios autorizados ejecutar sus obligaciones asignadas y evitando que
personas no autorizadas logren el acceso.
Se
limitara tanto a usuarios como a programadores de aplicaciones a un tipo específico
de acceso de datos.
•Para
asegurar las rutas de acceso deberá restringirse el acceso a secciones o tablas
de seguridad, mismas que deberán ser encriptados. Deberán restringirse las
modificaciones o cambios al software de control de acceso, y éstos deberán ser
realizados de acuerdo y a procedimientos no autorizados:
Software
de sistemas operativos.
Controles
que incluye:
○Los
password e identificadores deberán ser confidenciales
○El
acceso al software de sistema operativo deberá ser restringido
○Los
administradores de seguridad deberán ser los únicos con autoridad para modificar
funciones del sistema
•Software
manejador de base de datos.
Controles
que incluye:
○El
acceso a los archivos de datos deberá ser restringido en una vista de datos
lógica
○Deberá
controlar el acceso al diccionario de datos
○La
base de datos debe ser segura y se usaran las facilidades de control de acceso
construidas dentro del software DBMS
•Software
de consolas o terminales maestras.
Controles
que incluye:
○Los
cambios realizados al software de consolas o terminales maestras deberán ser
protegidas y controlados
•Software
de librerías.
Controles
que incluye:
○Tiene
la facilidad de compara dos versiones de programas en código fuente y reportar
las diferencias
○Deben
limitarse el acceso a programas o datos almacenados por el software de
librerías
○Las
versiones correctas de los programas de producción deben corresponder a los
programas objetos
•Software
de utilerías.
Controles
que incluye:
○Deberán
restringirse el acceso a archivos de utilerías
Software de sistemas operativos.
Controles que incluye:
○Los
password e identificadores deberán ser confidenciales
○El
acceso al software de sistema operativo deberá ser restringido
○Los
administradores de seguridad deberán ser los únicos con autoridad para
modificar funciones del sistema
•Software
manejador de base de datos.
Controles
que incluye:
○El
acceso a los archivos de datos deberá ser restringido en una vista de datos
lógica
○
Deberá controlar el acceso al diccionario de datos
○La
base de datos debe ser segura y se usaran las facilidades de control de acceso
construidas dentro del software DBMS
•
Software de consolas o terminales maestras.
Controles
que incluye:
○Los
cambios realizados al software de consolas o terminales maestras deberán ser
protegidas y controlados
•
Software de librerías.
Controles
que incluye:
○
Tiene la facilidad de compara dos versiones de programas en código fuente y
reportar las diferencias
○
Deben limitarse el acceso a programas o datos almacenados por el software de
librerías
○
Las versiones correctas de los programas de producción deben corresponder a los
programas objetos
•
Software de utilerías.
Controles
que incluye:
○
Deberán restringirse el acceso a archivos de utilerías
Asegurar
que únicamente personal autorizado tenga acceso a corre aplicaciones
•Software
de telecomunicaciones.
Controles
que incluye:
○
Controles de acceso a datos sensibles y recursos de la red
○
El acceso diario al sistema debe ser monitoreado y protegido
4.7.-CONTROLES
PARA PREVENIR CRÍMENES Y FRAUDES INFORMÁTICOS
Como hablamos de realizar la evaluación de la
seguridad es importante también conocer cómo desarrollar y ejecutar el
implantar un sistema de seguridad. Desarrollar un sistema de seguridad
significa: "planear, organizar coordinar dirigir y controlar las
actividades relacionadas a mantener y garantizar la integridad física de los
recursos implicados en la función informática, así como el resguardo de los
activos de la empresa."Por lo cual podemos ver las consideraciones de un
sistema de integral de seguridad.
Sistema Integral de Seguridad
• Definir elementos administrativos
• Definir políticas de seguridad
• A nivel departamental
• A nivel institucional
• Organizar y dividir las responsabilidades
•Contemplar la seguridad física contra catástrofes
(incendios, terremotos, inundaciones, etc.)
•Definir prácticas de seguridad para el personal:
•Plan de emergencia (plan de evacuación, uso de
recursos de emergencia como extinguidores.
•Números telefónicos de emergencia
•Definir el tipo de pólizas de seguros
Definir elementos técnicos de procedimientos
•Definir las necesidades de sistemas de seguridad
para:
•Hardware y software
•Flujo de energía
•Cableados locales y externos
•Aplicación de los sistemas de seguridad incluyendo
datos y archivos
• Planificación de los papeles de los auditores
internos y externos
•Planificación de programas de desastre y sus
pruebas(simulación)
•Planificación de equipos de contingencia con
carácter periódico
•Control de desechos de los nodos importantes del
sistema:
•Política de destrucción de basura copias,
fotocopias, etc.
Etapas para Implementar un Sistema de Seguridad
Para dotar de medios necesarios para elaborar su
sistema de seguridad se debe considerar los siguientes puntos:
•Sensibilizar a los ejecutivos de la organización
en torno al tema de seguridad.
• Se debe realizar un diagnóstico de la situación
de riesgo y seguridad de la información en la organización a nivel software,
hardware, recursos humanos, y ambientales.
•Elaborar un plan para un programa de seguridad. El
plan debe elaborarse contemplando:
Plan de Seguridad Ideal (o Normativo)
Un plan de seguridad para un sistema de seguridad
integral debe contemplar:
•El plan de seguridad debe asegurar la integridad y
exactitud de los datos
•Debe permitir identificar la información que es
confidencial
•Debe contemplar áreas de uso exclusivo .
Debe proteger y conservar los activos de desastres
provocados por la mano del hombre y los actos abiertamente hostiles
•Debe asegurar la capacidad de la organización para
sobrevivir accidentes
•Debe proteger a los empleados contra tentaciones o
sospechas innecesarias
•Debe contemplar la administración contra
acusaciones por imprudencia
4.8.- PLAN DE
CONTINGENCIA, SEGUROS, PROCEDIMIENTO DE RECUPERACIÓN DE DESASTRES
PLAN DE
CONTINGENCIAS
El plan de contingencias y el plan de seguridad
tienen como finalidad proveer a la organización de requerimientos para su
recuperación ante desastres. La metodología tiene como finalidad conducir de la
manera más efectiva un plan de recuperación ante una contingencia sufrida por
la organización. El plan de contingencia es definido como: la identificación y
protección de los procesos críticos de la organización y los recursos
requeridos para mantener un aceptable nivel de transacciones y de ejecución,
protegiendo estos recursos y preparando procedimientos para asegurar la
sobrevivencia de la organización encaso de desastre.
Entre los
objetivos del plan de contingencia se encuentran:
•Minimizar el impacto del desastre en la
organización.
•Establecer tareas para evaluar los procesos
indispensables de la organización.
•Evaluar los procesos de la organización, con el
apoyo y autorización respectivos a través de una buena metodología.
Determinar el costo del plan de recuperación,
incluyendo la capacitación y la organización para restablecer los procesos
críticos de la organización cuando ocurra una interrupción de las operaciones.
Seguridad
contara desastres provocada por agua
Los centros de cómputo no deben colocarse en
sótanos o en áreas de planta baja, sino de preferencia en las partes altas de
una estructura de varios pisos aunque hay que cuidar que en zonas sísmicas no
queden en lugares donde o peso ocasionado por equipos o papel pueda provocar
problemas. Se debe evaluar la mejor opción, dependiendo de la seguridad de
acceso al centro de cómputo, cuando en la zona existen problemas de
inundaciones o son sísmicas. En caso de ser zona de inundaciones o con
problemas de drenaje la mejor opción es colocar el centro de cómputo en áreas
donde el riesgo de inundación no sea evidente. Algunas causas de esto pueden
ser la ruptura de cañerías o el bloqueo del drenaje, por lo tanto, la ubicación
de las cañerías en un centro de cómputo es una decisión importante, así como
considerar el nivel del manto freático. Debe considerarse el riesgo que
representa el drenaje cuando el centro de cómputo se localiza en un sótano.
Deben instalarse, si es el caso, detectores de agua o inundación, así como
bombas de emergencia para resolver inundaciones inesperadas. Otro de los
cuidados que se deben tener para evitar daños por agua es poseer aspersores
contra incendio especiales que no sean de agua.
Seguridad de
autorización de acceso
Es importante asegurarse que los controles de
acceso sean estrictos durante todo el día, y que éstos incluyan a todo el
personal de la organización, en especial durante los descansos y cambios de
turno. El personal de informática, así como cualquier otro ajeno a la
instalación, se debe identificar antes de entrar a ésta. El riesgo que proviene
de alguien de la organización es tan grande como el de cualquier otro
visitante. Solamente el personal autorizado por medio de una llave de acceso o
por la gerencia debe ingresar a dichas instalaciones.
En los centros de cómputo se pueden utilizar los
siguientes recursos:
•Puerta con cerradura. Requiere de la tradicional
llave de metal, la cual debe ser difícil de duplicar.
• Puerta de combinación. En este sistema se usa una
combinación de números para permitir el acceso.
•Puerta electrónica. El sistema más común es el que
usa una tarjeta de plástico magnética como llave de entrada.
• Puertas sensoriales. Son activadas por los
propios individuos con alguna parte de su cuerpo, como puede ser la huella
dactilar, voz, retina, geometría de la mano o bien por la firma.
•Registros de entrada. Todos los visitantes deben
firmar el registro de visitantes indicando su nombre, su compañía, la razón
para la visita, la persona a la que visita.
•Videocámaras.Éstas
deben ser colocadas en puntos estratégicos para que se pueda monitorear el
centro
•Escolta controladora para el acceso de visitantes.
Todos los visitantes deben ser acompañados por un empleado responsable.
•Puertas
dobles. Este equipo es recomendable para lugares de alta seguridad: se trata de
dos puertas, donde la segunda sólo se pueda abrir cuando la primera está
cerrada.
• Alarmas.
Todas las áreas deben estar protegidas contra robo o accesos físicos no
autorizados. Las alarmas contra robo deben ser usadas hasta donde sea posible en
forma discreta, de manera que no se atraiga la atención hacia este dispositivo
de alta seguridad
Seguros
Los seguros de los equipos en algunas ocasiones se
dejan en segundo término, aunque son de gran importancia. Se tiene poco
conocimiento de los riesgos que entraña la computación, ya que en ocasiones el
riesgo no es claro para las compañías de seguros, debido a lo nuevo de la
herramienta, a la poca experiencia existente sobre desastres y al rápido avance
de la tecnología. Como ejemplo de lo anterior tenemos las pólizas de seguros
contra desastres, ya que algunos conceptos son cubiertos por el proveedor del
servicio de mantenimiento, lo cual hace que se duplique el seguro, o bien que
sobrevengan desastres que no son normales en cualquier otro tipo de ambiente.
El seguro debe cubrir todo el equipo y su instalación, por lo que es probable
que una sola póliza no pueda cubrir todo el equipo con las diferentes
características (existe equipo que puede ser transportado, como computadoras
personales, y otras que no se pueden mover, como unidades de disco duro), por
lo que tal vez convenga tener dos o más pólizas por separado, cada una con las
especificaciones necesarias. Como ejemplo y en forma genérica, por lo común un
seguro de equipo de cómputo considera lo siguiente:
•Bienes que se pueden amparar.
•Riesgos cubiertos.
•Riesgos excluidos
•Exclusiones
•Suma asegurada.
•Primas, cuotas y deducibles.
•Indemnización en caso de siniestro
4.9.-TÉCNICAS
Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FÍSICA Y DEL PERSONAL
Protección a los procedimientos de procesamiento y
los equipos contra las intervenciones exteriores:
•Sólo se debe permitir al personal autorizado que
maneje los equipos de procesamiento.
•Sólo se permitirá la entrada al personal
autorizado y competente
•Seleccionar al personal mediante la aplicación de
exámenes integrales: médico, psicológico, aptitudes, etc.
•Contratar personal que viva en zonas cercanas a la
empresa.
•Acondicionar los locales, de acuerdo con las
normas de seguridad.
•Capacitar y adiestrar al personal respecto a los
riesgos a los que se exponen y la manera de evitarlos.
•Practicar con periodicidad exámenes médicos al
personal
•Sostener pláticas informales, directas e
individuales con el personal.
•Instalar carteles y propaganda mural referentes a
la seguridad.
•Elaborar estadísticas sobre riesgos ocurridos y
derivar de ellas las medidas concretas adoptables para evitar su repetición.
•Enterar al personal sobre dichas estadísticas y
las medidas adoptadas.
•Proponer otras actividades que se consideren
necesarias.
4.10.-TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA
SEGURIDAD DE LOS DATOS Y SOFTWARE DE APLICACIÓN
Protección de los
registros y de los archivos.
Formas en que se puede
perder los archivos:
Su presencia en ambiente distribuido.
Manejo indebido por parte del operador.
Mal funcionamiento por parte de la maquina.
Plan de preservación:
documentos fuente: los documentos fuentes en los que se basa un archivo de entrada deben ser
retenidos intactos hasta el momento de que el archivo sea comprobado.
Archivos de disco: una característica sea del archivo de disco es que el registro anterior es destruido, no produce una copia
automáticamente una copia en duplicado.
Vacio a otros medios: esto puede ser vaciado a otros discos, o a papel de
impresión.
Objetivo de la auditoria de software de aplicación:
Verificar la presencia de procedimientos y
controles Para satisfacer :
La instalación del software.
La operación
y seguridad del software.
La administración
del software.
Detectar el grado
de confiabilidad:
Grado de
confianza, satisfacción y desempeño.
Investigar si existen políticas con relación al
software.
Detectar si existen controles de seguridad.
Actualización del
software de aplicación
Tipos de controles:
Control de distribución.
Validación de datos.
Totales de control.
Control de
secuencia.
Pruebas de consistencia y verosimilitud.
Digito d control.
Control de
distribución.
1° Menciona tres cosas que debe contemplar un sistema integral
v Definir
elementos administrativos
v Definir políticas de seguridad
v A nivel departamental
2° Define tres prácticas de seguridad
para el personal
v Plan
de emergencia (plan de evacuación, uso de recursos de emergencia como
extinguidores.
v Números telefónicos de emergencia
v Definir el tipo de pólizas de seguros
3° ¿Qué son los beneficios de un
sistemas de seguridad?
Los
beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el
la organización trabajará sobre una plataforma confiable.
4° ¿Qué objetivos tiene la seguridad del
área de informática?
•
Proteger la integridad, exactitud y confidencialidad de la información
•Proteger
los activos ante desastres provocados por la mano del hombre y de actos
hostiles
•Proteger
la organización contra situaciones externas como desastres naturales y
sabotajes
5° ¿De qué se encarga la seguridad
lógica y confidencial?
Se
encarga de los controles de acceso que están diseñados para salvaguardar la
integridad de la información almacenada de una computadora, así como controlar
el mal uso de su información.
6° ¿Qué consecuencias puede traer la
falta de seguridad lógica en una organización?
•
Cambio de los datos antes o cuando se le da entrada a la computadora
•
Copias de programas y/o información
•
Código oculto en un programa
•
Entrada de virus
7° ¿Qué debe comprender un sistema
integral de seguridad?
•Elementos
administrativos
•Definición
de una política de seguridad Auditoria
•Organización
y división de responsabilidades
8° ¿Qué protege el software de
seguridad?
El
software de seguridad protege los recursos mediante la identificación de los
usuarios autorizados con llaves de acceso, que son archivadas y guardadas por
este software.
9° ¿Cuáles son los medios necesarios
para elaborar una sistemas de seguridad?
•Sensibilizar a los ejecutivos de la organización
en torno al tema de seguridad.
• Se debe realizar un diagnóstico de la situación
de riesgo y seguridad de la información en la organización a nivel software,
hardware, recursos humanos, y ambientales
10° ¿Qué
finalidad tiene el plan de seguridad?
El plan de
contingencias y el plan de seguridad tienen como finalidad proveer a la
organización de requerimientos para su recuperación ante desastres
No hay comentarios.:
Publicar un comentario