Auditoria Informtica Unidad II

Seguridad de la Informacin
1. 2.

Seguridad Fsica Seguridad Lgica

Auditoria Informtica Unidad II

Seguridad de la Informacin
1.

2.

La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin.

Auditora Informtica Unidad II

Seguridad de la Informacin
1.

El propsito de la Seguridad Fsica es prevenir el acceso fsico no autorizado, daos a las instalaciones e interrupciones al procesamiento de informacin.

Auditora Informtica Unidad II

Seguridad de la Informacin

Permetro de Seguridad Fsica

Las instalaciones de procesamientode informacin deben estar protegidas contra interrupciones o daos producto del acceso no autorizado al rea. Por lo tanto, es necesario mantener un permetro de seguridad en torno a las instalaciones fsicas que cumpla con tal objetivo. El nivel de seguridad de la informacin debe estar asociado al nivel de impacto que provocara una interrupcin en los procesos de la empresa, el dao a la integridad y la divulgacin de la informacin reservada o confidencial.

Auditora Informtica Unidad II

Seguridad de la Informacin

Controles Fsicos
Las reas de procesamiento deben contar con controles de acceso que aseguren el ingreso solo a personal autorizado. Los siguientes controles deben ser considerados:

Exigencia de portar la identificacin al momento del ingreso y durante el periodo en que se encuentra en la instalacin. Supervisin para los visitantes y personal que no cumple labores frecuentes. Registro con fecha y hora de entrada y salida de personal. Los derechos de acceso deben ser peridicamente revisados y actualizados.

Auditora Informtica Unidad II

Seguridad de la Informacin

Controles Fsicos (continuacin)

Seguridad en las oficinas:
Todos los lugares en que se declare trabajar con informacin sensible, deben contar con medidas que eviten el acceso del pblico y personal no autorizado. Las reas comerciales deben contar con mecanismos de seguridad que impidan el acceso no autorizado a informacin sensible que manejen, sobre todo en horario de atencin de pblico. Las mquinas de fax, fotocopiadoras y equipamiento que manejan informacin sensible, deben estar ubicado dentro del rea protegida.

Auditora Informtica Unidad II

Seguridad de la Informacin

Controles Fsicos (continuacin)

reas de recepcin y despacho: Las reas de recepcin y despacho deben ser controlada y en la medida de lo posible, aisladas de reas que manejen informacin sensible, para evitar el acceso no autorizado. Los requerimientos de seguridad de tales reas deben estar determinados por una evaluacin de riesgos.

Auditoria Informtica Unidad II

Seguridad de la Informacin

Seguridad Lgica

Control de Acceso: su propsito es evitar el acceso no autorizado a la informacin digital e instalaciones de procesamiento de datos. Administracin de usuarios; El nivel de acceso asignado debe ser consistente con el propsito del negocio. Todo usuario que acceda a los sistemas de informacin de la empresa, debe tener asignado un identificador nico (user ID), que permita establecer responsabilidades individuales en el uso de los sistemas de informacin. Los permisos asignados a los usuarios deben estar adecuadamente registrados y protegidos.

Auditora Informtica Unidad II

Seguridad de la Informacin

Seguridad Lgica

Administracin de usuarios (continuacin) Cualquier cambio de posicin o funcin de un rol, amerita evaluacin de los permisos asignados, con el fin de realizar las modificaciones que correspondan en forma oportuna . Los sistemas de informacin de la organizacin, deben contar con mecanismos robustos de autenticacin de usuarios, sobre todo de aquellos usuarios conectados desde redes externas. La creacin, modificacin y eliminacin de claves debe ser controlada a travs de un procedimiento formal.

Auditoria Informtica Unidad II

Seguridad de la Informacin

Seguridad Lgica

Control de red La empresa debe contar con controles que protejan la informacin dispuesta en las redes de informacin y los servicios interconectados, evitando as accesos no autorizados (ejemplo; firewalls). Debe existir un adecuado nivel de segregacin funcional que regule las actividades ejecutadas por los administradores de redes, operaciones y seguridad. Deben existir Loas de eventos que permita el monitoreo de incidentes de seguridad en redes.

Auditoria Informtica Unidad II

Seguridad de la Informacin

Seguridad Lgica

Control de datos La empresa debe contar con controles que protejan la informacin dispuesta en las bases de datos de las aplicaciones, evitando as accesos no autorizados. Debe existir un adecuado nivel de segregacin de funciones que regule las actividades ejecutadas por los administradores de datos. Se debe mantener un Log de actividades que registre las actividades de los administradores de los administradores d datos. Los usuarios deben acceder a la informacin contenida en las bases de datos, nicamente a travs de aplicaciones que cuentan con mecanismos de control que aseguren el acceso a la informacin autorizada (clave de acceso a la aplicacin)

Auditoria Informtica Unidad II

Seguridad de la Informacin

Seguridad Lgica

Encriptacin El nivel de proteccin de informacin debe estar basado en un anlisis de riesgo. Este anlisis debe permitir identificar cuando es necesario encriptar la informacin, el tipo, calidad del algoritmo de encriptacin y el largo de las claves criptogrficas a ser usadas. Toda informacin clasificada como restringida y confidencial debe ser almacenada, procesada y transmitida en forma encriptada. Todas las claves criptogrficas deben estar protegidas contra modificacin, perdida y destruccin.

Auditoria Informtica Unidad II

Seguridad de la Informacin

Seguridad Lgica

Administracin de claves Las claves deben estar protegidas contra accesos y modificacin no autorizada, perdida y destruccin. El equipamiento utilizado para generar y almacenar las claves debe estar fsicamente protegido. La proteccin de las claves debe impedir su visualizacin, aun si se vulnera el acceso al medio que la contiene .

Auditoria Informtica Unidad II

Seguridad de la Informacin

Seguridad Lgica

Uso de Passwords; Las passwords o claves de usuario son un elemento importante de seguridad, por lo tanto, todo empleado o tercera parte, debe utilizar una clave segura para el acceso a los sistemas de la organizacin. Esta clave segura tiene la condicin de personal e intransferible. Se considera una clave dbil o no segura cuando: La clave contiene menos de ocho caracteres. La clave es encontrada en un diccionario. La clave es una palabra de uso comn tal como: nombre de un familiar, mascota, amigo, colega, etc. La clave es fecha de cumpleaos u otra informacin personal como direcciones y nmeros telefnicos.

Auditoria Informtica Unidad II

Seguridad de la Informacin

Seguridad Lgica

Se considera una clave segura cuando; La clave contiene may de ocho caracteres. La clave contiene caracteres en minscula y mayscula. La clave tiene dgitos de puntuacin, letras y nmeros intercalados. La clave no obedece a una palabra o lenguaje, dialecto o jerga Fcil de recordar.

Auditoria Informtica Unidad II

Seguridad de la Informacin

Seguridad Lgica

Intercambio de Informacin; prevenir la perdida, modificacin o acceso no autorizado y el mal uso de la informacin que la empresa intercambia como parte de sus procesos de negocio.

Acuerdos de intercambio; en todos los casos de intercambio de informacin sensible, se deben tomar todos los resguardos que eviten su revelacin no autorizada. Todo intercambio de informacin debe estar autorizada expresamente por el dueo de esta.

Auditoria Informtica Unidad II

Seguridad de la Informacin

Seguridad Lgica

Intercambio de Informacin (continuacin). Seguridad de los medios removibles; El dueo de la informacin es quien autoriza a travs de algn medio removible desde la organizacin. Los dispositivos que permiten a los computadores manejar medios removibles, deben ser habilitados cuando haya una razn de negocio para hacerlo y previa autorizacin del dueo de la informacin.

Auditoria Informtica Unidad II

Seguridad de la Informacin

Seguridad Lgica

Seguridad en el comercio electrnico. La informacin involucrada en comercio electrnico y que pasa por redes publicas, debe estar protegida de actividades fraudulentas, disputas contractuales y revelaciones o modificaciones no autorizadas.

Auditoria Informtica Unidad II

Seguridad de la Informacin

Seguridad Lgica

Seguridad en el correo electrnico.

El correo electrnico es provisto por la empresa a los empleados y terceras partes, para facilitar el desempeo de sus funciones. La asignacin de esta herramienta de trabajo debe hacerse considerando una evaluacin de riesgo. El correo es personalizado, es decir no es aceptable la utilizacin del correo de otra persona, por tanto se asume responsable del envo al remitente (DE:) y no quien lo firma.