U. N. CUYO F. C. E.

UNIDAD N 5
Integrantes del grupo Bringas, Paola Corbelini, Silvana Mndez, Adriana Maldonado, Claudia Ortega, Romina Ortiz, Vernica Zann, Valeria

Auditoria Operativa y de Sistemas Computarizados

INTRODUCCIN
La informacin es uno de los activos ms importantes de las entidades, y de modo especial en algunos sectores de actividad. Los sistemas de informacin de cualquier Organizacin estn sometidos a amenazas ms o menos destructivas. Amenazas que van desde fallos tcnicos y accidentes no intencionados (pero no menos peligrosos), hasta acciones intencionadas, ms o menos lucrativas, de curiosidad, espionaje, sabotaje, vandalismo, chantaje o fraude. Todas las opiniones aseguran que las amenazas a la seguridad de los sistemas de informacin y a la informacin misma sern cada vez ms ambiciosas y sofisticadas. La informacin es un bien econmico, por lo cual requiere normas de proteccin

CONCEPTO DE SEGURIDAD INFORMTICA

Seguridad Informtica es el conjunto de reglas, planes y acciones que permiten asegurar la informacin contenida en un sistema computacional. Es el conjunto de recursos (metodologas, planes, polticas documentos, programas y dispositivos fsicos) encaminados a lograr que los recursos de cmputo disponibles en un ambiente dado, sean accedidos nica y exclusivamente por quienes tienen la autorizacin para hacerlo. Existe una medida cualitativa para la Seguridad que dice "Un sistema es seguro si se comporta como los usuarios esperan que lo haga" (Dr. Eugene Spafford). Dicha seguridad consiste al final en un depsito de confianza suficiente en la capacidad de dicha informacin y sistemas para sostener el funcionamiento adecuado de las funciones y los valores de la Organizacin. Cualquier amenaza que se materialice contra el flujo normal de la informacin en una Organizacin, pone de relieve la dependencia y la vulnerabilidad de toda la Organizacin (en un grado que es consecuente con la gravedad de la amenaza, como es lgico).

OBJETIVO DE LA SEGURIDAD INFORMTICA.

Los objetivos que persigue la seguridad de los Sistemas de Informacin es proteger los recursos informticos del dao, la alteracin, el robo y la prdida. Incluyendo en esto los equipos, medios de almacenamiento, software, listados de impresora y los datos. El objeto o propsito de la seguridad de los sistemas de informacin consiste sobre todo en mantener la continuidad de los procesos organizacionales que soportan dichos sistemas. Asimismo intentar minimizar tanto el costo global de la ejecucin de dichos procesos como las prdidas de los recursos asignados a su funcionamiento.

FUNCIONES DE LA SEGURIDAD INFORMTICA

La seguridad en los sistemas de informacin abarca cinco funciones: Evitar: Se estudia la seguridad de acuerdo con las caractersticas de la entidad, tratando de establecer si ciertas actividades deberan interrumpirse por cuanto los riesgos que se corren son muy grandes. Disuadir: Se trata de contar con medidas de proteccin que inspiren respeto (o temor) como para mover a alguien a desistir de sus propsitos. Por ej: carteles indicadores de prohibiciones o circuitos cerrados, auditoria de computacin, etc. El factor clave es, el accionar sorpresivo del auditor. Prevenir: Es la funcin ms clsica y la ms conocida. Detectar: Consiste en la deteccin del riesgo.

Recuperar y Corregir: Es fundamental contar con las medidas que posibiliten su recuperacin ante cualquier falla del hardware, software, errores de operacin, etc.

REAS QUE CUBRE LA SEGURIDAD INFORMTICA

Polticas de Seguridad Seguridad Fsica Autentificacin Integridad Confidencialidad Control de Acceso Auditora

PROPIEDADES DE LA INFORMACIN QUE PROTEGE LA SEGURIDAD INFORMTICA.

La Seguridad Informtica debe vigilar principalmente por las siguientes propiedades:

Confidencialidad : Se define como la "condicin que asegura que la

2

informacin no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados". La informacin debe ser vista y manipulada nicamente por quienes tienen el derecho o la autoridad de hacerlo. A menudo se la relaciona con la Intimidad o Privacidad, cuando esa Informacin se refiere a personas fsicas.

Integridad: Se define como la "condicin de seguridad que garantiza que la

informacin es modificada, incluyendo su creacin y borrado, slo por el personal autorizado". La integridad est vinculada a la fiabilidad funcional del sistema de informacin (o sea su eficacia para cumplir las funciones del sistema de organizacin soportado por aqul). La informacin debe ser consistente, fiable y no propensa a alteraciones no deseadas. Un ejemplo de ataque a la Integridad es la modificacin no autorizada de saldos en un sistema bancario o de calificaciones en un sistema escolar.

Disponibilidad: Se define como el "grado en el que un dato est en el lugar, momento y forma en que es requerido por el usuario autorizado. Situacin que se
produce cuando se puede acceder a un Sistema de Informacin en un periodo de tiempo considerado aceptable". Se asocia a menudo a la fiabilidad tcnica (tasa de fallos) de los componentes del sistema de informacin. La informacin debe estar en el momento que el usuario requiera de ella. Un ataque a la disponibilidad es la negacin de servicio.

Autentificacin o no repudio: Se define como "el mecanismo que permite conocer si la persona que esta accediendo a un sistema, es realmente quien debe acceder
y no un extrao". El no repudio se refiere a los que se hacen sobre temas de correo electrnico para garantizar la autenticidad del remitente ( un mecanismo son las firmas digitales). Adicionalmente pueden considerarse algunos aspectos adicionales, relacionados con los anteriores, pero que importan algunos aspectos particulares: Proteccin a la rplica: mediante la cual se asegura que una transaccin slo puede realizarse una vez, a menos que se especifique lo contrario. No se deber poder grabar una transaccin para luego reproducirla, con el propsito de copiar la transaccin para que parezca que se recibieron mltiples peticiones del mismo remitente original. No repudio: mediante la cual se evita que cualquier entidad que envi o recibi informacin alegue, ante terceros que no la envi o recibi. Consistencia: se debe poder asegurar que el sistema se comporte como se supone que debe hacerlo ante los usuarios que corresponda. Aislamiento: est relacionado ntimamente relacionado con la Confidencialidad, permite regular el acceso al sistema, impidiendo que personas no autorizadas hagan uso del mismo.

 Auditoria: es la capacidad de determinar qu acciones o procesos se estn llevando a cabo en el sistema, as como quin y cuando las realiza.

FACTORES QUE AFECTAN A LOS SISTEMAS DE INFORMACIN

Los principales factores que se ciernen sobre los sistemas Informticos tienen orgenes diversos. As, si consideramos las amenazas externas, el hardware puede ser fsicamente daado por agua, fuego, terremotos, sabotajes. Las mismas causas pueden daar los medios magnticos de almacenamiento externo. La informacin contenida en stos, tambin puede verse afectada por campos magnticos intensos y frecuentemente, por errores de operacin. Las lneas de comunicacin pueden ser interferidas, etc. Otros tipos de amenazas provienen de usuarios o empleados infieles. As, los primeros pueden usurpar la personalidad de usuarios autorizados y acceder indebidamente a datos para su consulta o borrado, o aunque algo ms complicado, modificar en su provecho programas de aplicacin. Otras amenazas ms sutiles provienen de inadecuados controles de programacin. As, el problema de residuos, es decir, de la permanencia de informacin en memoria principal cuando sta es liberada por un usuario o, en el caso de dispositivos externos cuando sta es incorrectamente borrada. Una tcnica fraudulenta muy usada consiste en transferir informacin de un programa a otro mediante canales ilcitos y no convencionales (canales ocultos).

Amenazas para la Humanas Maliciosas Externas Internas No Maliciosas Empleados Ignorantes Desastres Naturales Incendios Terremotos Inundaciones

FACTORES QUE AFECTAN LA INTEGRIDAD. etc. Fallas Humanas: Accidentes, inexperiencias, estrs, problemas de comunicacin, venganza, inters personal. Fallas en la red: Controladores, tarjetas, componentes, radiacin Problemas de SW o lgicos: Requerimientos mal definidos, corrupcin de Desastres naturales: Inundaciones, incendios, tormentas, terremotos etc. Fallas de Hadware: Discos, controladores, energa, memoria, dispositivos

archivos, errores de programas o aplicaciones, problemas de almacenamiento, errores de SO. FACTORES QUE AFECTAN LA SEGURIDAD DE LOS DATOS. Autentificacin : La forma en que se hace el proceso de acceso a los Basados en cables: Todos los cables son "pinchables" es decir se accede sistemas, passwords, perfiles de usuario. fcilmente a los datos que circulan de un nodo a otro en una red , para esto se utilizan las tcnicas de encriptacin. etc. Programacin: Aplicaciones mal construidas, los bugs en el software de la industria que necesita de parches para reducir el riesgo de perder los datos. Puertas Falsas: En la mayora de los software existen puertas falsas que permiten alterar o manipular los datos con los cuales estos trabajan ( ej: manipulacin de las tablas en las bases de datos) Fsicas: averas en los componentes fsicos, robo, espionaje industrial

GESTIN DE RIESGO EN LOS SISTEMAS DE INFORMACIN.

QUE ES? La gestin de riesgos de los sistema de informacin constituye la principal forma de hacer frente al problema de la seguridad de la informacin en las organizaciones, esta pasa ha ser una labor de vital importancia ya no a nivel funcional si no ha nivel corporativo. De ella se desprende la planificacin de la seguridad de los SI, y por ende las polticas y medidas de seguridad a implantar como tambin los objetivos, estrategias, y organizacin de la seguridad. La gestin de riesgos en los SI es una accin permanente cclica y recurrente, es decir, se ha de realizar continuamente debido a los cambios del sistema y de su entorno. OBJETIVOS. Sus objetivos son identificar, analizar, y eliminar o controlar las fuentes de riesgos antes de que empiecen a amenazar el funcionamiento continuo y confiable de los sistemas de informacin. DEFINICIN DE ALGUNOS TRMINOS

Activos
Los Activos: "recursos del sistema de informacin o relacionados con ste, necesarios para que la organizacin funcione correctamente y alcance los objetivos propuestos por su direccin" se pueden as estructurar en 5 categoras: 1) El entorno del Sistema de Informacin necesario para su funcionamiento: instalacin fsica, infraestructura de comunicaciones y otras, suministros, personal operacional o desarrollador de aplicaciones. 2) El Sistema de Informacin (hardware, redes propias, software bsico, aplicaciones). 3) La propia Informacin. 4) Las Funcionalidades de la Organizacin que justifican y dan finalidad a la existencia de los Sistemas de Informacin, incluido el personal usuario o los objetivos propuestos por la direccin. 5) Otros Activos (por ejemplo la credibilidad de una persona jurdica o fsica, su intimidad, la imagen ) El fallo de un Activo de una categora o nivel pueden generar cadenas de fallos en otros niveles. As, fallos en Activos del Entorno (1) provocaran otros fallos en el Sistema de Informacin (2); stos inciden en fallos de la Informacin (3), que soporta las Funcionalidades de la Organizacin (4) y sas condicionan los otros Activos (5). Una frase comn a la cual se suele recurrir es que "Una cadena se rompe por el eslabn ms dbil" lo mismo ocurre en materia de seguridad no importa que la seguridad para un activo sea alta si para otro esta es dbil. ETAPAS DE LA GESTIN DE RIESGOS 1)Identificacin de Riesgos Es la primera etapa a emprender, para abordarla, hay que listar los recursos con los que cuente la organizacin, en segundo lugar se deben identificar las amenazas que constituyen riesgos para la organizacin, despus de determinar las amenazas es necesario estimar qu tan factible es que suceda cada una de ellas. 2)Anlisis de Riesgos En el anlisis de riesgos se debe determinar la probabilidad de ocurrencia del riesgo y evaluar el impacto que tendra en el negocio en el caso de pasar a un siniestro. Tal determinacin depende del conocimiento que se tenga del fenmeno en particular. 3) Priorizacin de Riesgos Esta etapa se lleva a cabo una vez concluida la de anlisis de riesgos y tiene
6

como objetivo determinar donde se centrar el esfuerzo en nuestro plan de gestin, en funcin de nuestros recursos y los objetivos de nuestro negocio 4) Resolucin del Riesgo Aqu se decide cmo hacer frente al riesgo, se debe adoptar un camino, con la evaluacin del costo que puede tener para seguirlo. Entre las resoluciones que se puede estar: Evitar que el riesgo exista Trasladar el Riesgo ( por ej.: pasarlo de un proceso critico a uno que Asumir el riesgo ( Aqu se establecen planes de contingencia ) Comunicar el Riesgo Recordar el Riesgo Eliminar el Riesgo

no lo sea)

5) Planificacin del Control de Riesgos El objetivo de la planificacin es obtener una serie de medidas ( ya sean polticas, planes de contingencia, reglas etc ) para limitar los riesgos que atentan contra los SI ( disminuir su probabilidad de ocurrencia). 6) Monitoreo de Riesgos Esta etapa debe estar en continua ejecucin y servir como medio para evaluar los efectos de los mecanismos de seguridad implantados, permitir ir mejorando el plan de control de riesgos como tambin permitir que se reevaluen las probabilidades de ocurrencia de ciertos riesgos, existiendo la posibilidad que algunos desaparezcan o tambin que surjan nuevos riesgos que obligarn a la empresa a modificar su plan para hacerles frente. ANOTACIONES SOBRE LA IMPLEMENTACIN DE LA SEGURIDAD FSICA, LGICA Y CONDICIONES DE USUARIOS EN LAS REAS DE CMPUTO.

como:

Seguridad Fsica: prevenir el acceso de personas no autorizadas.

Para considerar la seguridad fsica se pueden implementar diversos mecanismos tales

A nivel preventivo Acceso controlado al equipo en base a diversas polticas tales como Uso del equipo por personal autorizado.

 Solo podr tener acceso al equipo aquel personal que cuente con conocimientos mnimos sobre computacin. Introduccin de clave personal del usuario mediante la portacin de una tarjeta con sus datos personales e historial la cual se aloja en una base de datos de todo el personal el cual da sea de su estado y condicin dentro de la empresa. Esto con el objetivo de saber el uso exacto de cada equipo y por parte de cada usuario. Respaldo continuo de la informacin al poder contar con mas de un servidor de base de datos lo cual asegure la integridad total de la informacin. Ubicacin de las instalaciones que cumplan con normas internacionales de calidad (ISO 9000). del sistema red. Control de alarma la cual notifique en todo momento sobre la integridad fsica No guardar informacin delicada en sistemas que tengan conexin a modem o

Otra seguridad fsica consiste en proteger el equipo de agentes externos como fuego, polvo, agua, etc. A nivel correctivo El aseguramiento del equipo en alguna agencia de seguros para que en caso de posible siniestro no exista una perdida total por parte de los elementos fsicos que controlan y dan soporte al sistema. Seguridad Lgica

Se ocupa de garantizar el funcionamiento confiable y sin interrupcin del sistema de computo y de la integridad de los programas y datos. Se implementa mediante: La construccin de contraseas en diversos niveles del sistemas donde permita solo el acceso en base a niveles de seguridad de usuarios con permiso

En base al sistema operativo que use como plataforma el sistema a implantarse puedo considerar adems a nivel cdigo, algoritmos que generen claves para poder encriptar los archivos de contraseas dentro del sistema lo cual me permita mayor seguridad en un entorno de red.
Generar un mdulo del sistema para la emisin de reportes para el administrador del sistema en donde se muestre tablas de uso del sistema as como los usuarios y los niveles de acceso por parte de los tales para poder determinar el uso y acceso al sistema. Conducta del usuario

Para asegurar el xito del sistema es necesario establecer campaas constantes sobre la funcionalidad y logros que se alcanzaran con el sistema los cuales creen una conciencia en el usuario y logren forman en el un inters en el uso del sistema. Mediante boletines, videos, conferencias que no entran en el adiestramiento sino que sirven para reforzar el uso y " amor " hacia el sistema por parte de los usuarios.

Tambin es importante el anlisis del uso y trayecto del sistema por parte de los usuarios para poder detectar fugas de informacin y posibles problemas con los datos accesados del sistema. Es importante remarcar que cada una de estas tcnicas parten de la premisa de que no existe el 100 % de seguridad esperado o deseable .

ESTRATEGIAS DE LA SEGURIDAD INFORMTICA

El establecimiento de un conjunto eficaz de directivas y controles de seguridad requiere el uso de un mtodo para determinar los puntos vulnerables que existen en nuestros sistemas y en las directivas y controles de seguridad que los protegen. El estado actual de las directivas de seguridad informtica se puede determinar mediante la revisin de la siguiente lista de documentacin. La revisin debe tomar nota de las reas en las que las directivas son deficitarias y examinar los documentos que haya: Directiva de seguridad informtica fsica, como los controles de acceso fsico. Directivas de seguridad de la red (por ejemplo, las referentes al correo electrnico y a Internet). integridad). Directivas de seguridad de los datos (control de acceso y controles de Planes y pruebas de contingencias y de recuperacin de desastres. Conocimiento y formacin en seguridad informtica..

Directivas de administracin y coordinacin de la seguridad informtica

PROTECCIN DE ACTIVOS VITALES

Son activos vitales todos aquellos relacionados con la continuidad de la entidad, como pueden ser: planes estratgicos, frmulas magistrales, diseo de prototipos, resguardos, contratos, plizas y datos estratgicos, que son los que ms nos interesan bajo la perspectiva de la seguridad de la informacin. Y debemos protegerlos pensando en los intereses de los accionistas, de los clientes, y tambin pensando en los empleados y en los proveedores. En todo caso la seguridad puede tener un impacto favorable en la imagen de las entidades, aunque ello slo no suela justificar sus costes, y tanto para clientes y posibles clientes como para los empleados. Unos y otros pueden sentirse ms protegidos, as como considerar ms protegidos sus activos. Y la proteccin no ha de basarse slo en dispositivos y medios fsicos, sino en formacin e informacin adecuada al personal, empezando por los directivos para que, "en cascada", afecte a todos los niveles de la pirmide organizativa.

CONCLUSIONES
Los Mecanismos de Seguridad de la Informacin buscan proteger a la informacin

de las diversas amenazas a las que se ve enfrentada. De acuerdo con las tendencias actuales la informacin se ve amenazada cada da por una cantidad mayor de factores que definitivamente pueden producir una situacin dentro de la CPD, y esto indudablemente afectara a la Organizacin. Es responsabilidad del Administrador de la Informacin definir, comunicar y controlar los riesgos que existen para as asignarle una mayor confiabilidad a las personas de la empresa que trabajan con los datos. Adems, debe luchar contra un conjunto de factores de diversa naturaleza que pueden impedir que la informacin sea protegida, entre ellos podemos mencionar: La Organizacin no le da realmente a la Seguridad de la Informacin la importancia que merece No existe una conciencia de parte tanto de los Administradores, como de los Usuarios que ayuden a cumplir con los objetivos de las polticas Existe incompetencia o desconocimiento por parte de los Administradores Hay amenazas de origen natural (terremotos, tormentas, etc.), origen humano (deseos de venganza, problemas psicolgicos, entre otros) y origen tcnico (fallas de SW, alta tensin,). Esto lleva a que la funcin de definir los planes a seguir en cuestin de seguridad debe ser una tarea realmente completa. Concluyendo, la puesta en marcha de los planes a seguir es responsabilidad del encargado de la seguridad, pero tambin debe existir un compromiso de parte de los usuarios de sistema de informacin, ejecutivos y todas las personas que de alguna u otra forma ayudan a que este sistema satisfaga a los requerimientos que se ve enfrentado, manteniendo sobretodo la integridad y confidencialidad (si es necesario) de la informacin. catastrfica

10