Unidad 3 Administración de La Seguridad Informática

UNIDAD 3 ADMINISTRACIÓN DE LA SEGURIDAD INFORMÁTICA OBJETIVOS PARTICULARES PARTICULARES DE LA L A UNIDAD  Al término de la unidad, el alumno: Entenderá la importancia de la función, y como parte fundamental del entorno globalizado de negocios. Plan Planea eará rá la func funció ión n de segu seguri rida dad d inf informá ormáttica ica com como part parte e clav clave e de las organizaciones. Desc Describ ribirá irá las las práct práctic icas as admi admini nist strat rativ ivas as ue ue son nece necesa sari rias as para para el buen buen funcionamiento de la función de seguridad informática.

3.1 OBJETIVOS AL ADMINISTRAR LA FUNCION !us ob"etivos son identifi!"#  las fuentes de identifi!"# !n!$i%!"# & e$i'in!" ( (nt"($!"  las riesgos antes de ue empiecen #a amenazar el funcionamiento continuo y confiable de los sistemas de información. $a seguridad de la información tiene dos aspectos. El primero consiste en negar el acceso a los datos a auellas personas ue no tengan derec#o a ellos, al cual también se le puede llamar protección de la privacidad, si se trata de datos personales, y mantenimiento de la seguridad en el caso de datos institucionales. %n segundo aspecto de la protección es garantizar el acceso a todos los datos importantes a las personas ue e"ercen adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad de proteger los datos ue se les #a confiado. En general, la protección de los datos reuiere e"ercer un control sobre la lectura, escri escritu tura ra y empl empleo eo de esa esa info inform rmac ació ión. n. Para Para obte obtener ner mayo mayorr efic eficie ienc ncia ia en la prot protec ecci ción ón se debe debe tene tenerr siem siempr pre e pres presen ente te la prot protec ecci ción ón de los los dato datos, s, el mantenimiento de la privacidad y la seguridad del secreto. [ASI] 

3.1.1 ADMINISTRACIÓN ADMINISTRACIÓN ) CONTROL DE CAMBIOS

C(nt"($e*. &ontrol Dual. E'isten ciertos procesos ue no pueden ser validados o verif verific icad ados os por por una una acti activi vida dad d poste posteri rior or.. En este este caso caso se reui reuier ere e la intervenció intervención n con"unta con"unta de dos personas antes de consumar la operación. operación. El con"unto dual se cumple al recabar una segunda firma de autorización verificando ue los datos coincidan. &ontroles de Entrada $os datos de entrada deben ser validados lo más cerca posible del punto de origen, los procedimientos para el mane"o de errores deben colocarse en el lugar apropiado para facilitar el reproceso oportuno y preciso. •

•

(ane"o de errores de entrada. Deberán revisarse los procedimientos de mane"os de errores relacionados con la corrección y retroalimentación de los datos. Es neces ecesar ario io det determi ermina narr si los los erro errore ress son son desp despllegad egados os o list istados ados inmediatamente después de su detección y si éstos son claros y fácilmente comprensibles. )odos los datos rec#azados deberán ser grabados en forma automática y supervisados antes de volver a iniciar su proceso •

&ontroles de Procesamiento. El procesamiento procesamiento de los datos por programas programas de aplicación aplicación individuales, individuales, deben ser controlados controlados para asegurar asegurar ue ning*n dato es agregado, agregado, removido removido o alterado durante el proceso. !e deberá incluir: +ue e'istan pistas de auditoria para permitir la reconstrucción de arc#ivos de datos, cuando se reuiera. •

Probar si los datos pueden ser rastreados #asta el punto de origen. Determinar si el Departamento de !istemas de nformación tiene un grupo de de control ue lleve a cabo actividades como las siguientes: &ontrol de las actividades de las terminales nvestigar cualuier desviación del operador respecto a los procesos establecidos  Asegurarse ue los reinicios se realicen adecuadamente. -alance de los controles de lote y de registros procesados )otales de control • •

• • •

Deben revisarse las condiciones o medidas incorporadas en los programas para la integridad de los procesos previendo lo siguiente: +ue impida la entrada de datos por consola +ue se identifiuen los datos a ser procesados +ue los programas verifiuen las etiuetas internas +ue las etiuetas finales incluyen cifras de control • • • •

$os conceptos conceptos sealados sealados también también son aplicables aplicables para auellas auellas transaccione transaccioness ue #ayan sido rec#azadas por el sistema. Para lograr lo anterior, es conveniente au'iliarse de la misma computadora detectando los errores de procesamiento. Por esto es necesario. Dete Determ rmin inar ara a ué ué faci facililida dade dess de #ard/ #ard/are are y util utiler0 er0as as de soft/ soft/are are está están n disponibles para utilizarse en la detección y corrección de errores. 1erificar ue la contabilidad de los y traba"os y los reportes de error incluyan: 2ombre y n*mero del traba"o •

)iempo de e"ecución, inicio y final. 3azón de terminación (ensa"es de error  )odas las interrupciones y participación del operador  1erificar si el sistema genera reportes por e'cepción ue incluyan: ntentos no autorizados de acceso a arc#ivos restringidos E'ceso de tiempo de corridas de traba"o 3eproceso de aplicaciones de producción )erminaciones anormales y errores detectados en las estad0sticas de control • • • •

• • • •

C(nt"($e* de *!$id!. $os reportes de salida deben ser revisados en cuanto a su racionalidad y distribución oportuna a los destinatarios autorizados. $os reportes de salida beben ser revisados en cuanto a forma e integridad, determinando si #an sido establecidos y documentados los procedimientos relacionados con el balanceo y conciliaciones de salidas.  Algunas de las validaciones son: Determinar si toda la información necesaria esta disponible en los reportes, si todas la e'cepciones son reportadas, si incluyen todas las e'cepciones posibles y si los totales son e'actos. Es necesario también en con"unción con los usuarios verificar si: $os reportes ue reciben son relevantes $a información ue incluye es e'acta, confiable y *til )iene necesidades de información no incluidas E'isten reportes ue no son de utilidad )ienen sugerencias en cuanto a su frecuencia y contenido $as salidas deben ser balanceadas contra los totales de control, revisando los procedimientos para esto. •

• • • • •

$a redistribución de las salidas debe estar de acuerdo con las instrucciones escritas revisando: a. !u integridad y e'actitud b. (odificaciones e instrucciones iniciales c. E'istencia de las listas de distribución por aplicación actualizada. d. 1erificar si estas listan incluyen4 frecuencia del reporte, distribución de los originales y copia e instrucciones especiales 5si es el caso6. e. Deben e'istir procedimientos para reportar y controlar errores determinados en las salidas, incluyendo la comunicación con el área responsable de solucionarlos f. $o ideal es establecer una bitácora ue seale: g. dentificación de los problemas registrando la fec#a y #ora en ue se contacto al personal de sistema. #. $a acción correctiva ue se tomo. i. 7ec#a y #ora en ue se corrigió y responsable de esto.

 ". &ausas y tendencias de los errores de salida 8. Procedimiento para garantizar ue los errores son corregidos en su totalidad.

C(nt"($e* !d'ini*t"!ti+(* !eparación de funciones. El auditor deberá preocuparse porue e'ista una adecuada separación de funciones para prevenir un mal uso de la computadora e inclusive fraudes en la utilización de los arc#ivos, recursos materiales o documentos negociables. Esto incluye el grupo de procesamiento de datos as0 como las relaciones entre estos y el grupo de usuarios •

•

C(nt"($e* de A',iente & *e-"id!de* F/*i!*

Estos controles están orientados al ob"etivo sealado de continuidad del servicio y depende en gran parte de las condiciones ambientales e'ternas e internas como: planta de energ0a propia, temperatura y #umedad controlada Estos controles ambientales no sólo son aplicables en el área de la computadora, sino también en la biblioteca. El cumplimiento de estos ob"etivos se puede asegurar utilizando: a. 3egistro de los termómetros localizados en el centro. b. 3egistro de indicadores de #umedad c. 3egistro de indicadores de volta"e d. 3evisión de pruebas periódicas de los procedimientos para operar con la planta au'iliar de energ0a eléctrica e. 3evisiones de los resultados de las condiciones ue guardan los sistemas de protección contra fuego. 9tra área de intervención del auditor en informática está relacionada con los dos aspectos siguientes relacionados con seguridades f0sicas. Protección del euipo de cómputo, programas y arc#ivos y el acceso no autorizado a información confidencial o al programa. $os controles generales para seguridad f0sica incluyen: a. Acceso controlado para prevenir entradas no autorizadas al área de operación, biblioteca y lugares en donde se encuentren documentos negociables. b. Procedimientos de autorización y criterio para limitar las entradas de personal a áreas restringidas c. Procedimientos autorización y criterios para la conservación del contenido de la biblioteca. d. Acceso en l0nea a la información Para evaluar los controles de seguridad f0sica es posible utilizar gu0as de auditor0a tomadas en literatura e'istente, adecuada a las particularidades de la organización.

)ambién es importante evaluar dentro de esta etapa otros factores ue puedan representar riegos para el centro de procesos. $as siguientes son algunas de las medidas de seguridad 70sica recomendables en un &entro de &ómputo4 ue incorporan aspectos relativos a la propia construcción y ubicación.

U,i!i0n !e refiere al lugar definido para operar el centro de cómputo en donde tendremos ue validar, entre otras cosas: 7acilidad de acceso  Alimentación de Energ0a eléctrica ndice de delincuencia Empresas vecinas 5altamente contaminantes6 ndice de fenómenos naturales: !ismos y tormentas En esta parte es importante seleccionar, a través de un estudio adecuado, el lugar  ideal para recibir las instalaciones del &entro de Procesos. Podemos decir ue son pocas las instalaciones en las ue se tomó en cuenta este factor. • • • • •

C(n*t"i0n  2os referimos a los materiales utilizados en la edificación del &entro de Procesos ue permitan entre otras cosas: a. !oportar un ataue directo desde el e'terior  b. +ue no incluyan en la medida de lo posible materiales ue puedan originar  un incendio c. +ue no e'istan ventanas al e'terior  d. +ue se incluyan bóvedas resistentes al calor  e. ncorporación de barreras para cortar o aislar un incendio 9tro aspecto importante cundo #ablamos de la construcción, es el concepto de anonimato, ue nos seala ue no es conveniente identificar claramente el contenido de nuestro edificio, de tal suerte ue no sea fácil sealar el local como la parte más vulnerable de la organización.

C(nt"($e* de !e*( )rata de los dispositivos de seguridad, ue atienden el acceso al área del &entro de Proceso e incluyen: a6 ;uardia de seguridad con entrenamiento adecuado. b6 &erraduras de combinación y5o6 magnéticas c6 &ircuito cerrado de televisión 5incluye el acceso principal y áreas de operación6 d6 Puertas blindadas ba"o el sistema de doble puerta e6 3egistro de visitantes f6 ;afetes de identificación g6 !istemas integrales de control a través de microcomputadoras •

[ASI] 

3.1. CLASIFICACION DE DATOS E INFORMACION P"(2ied!de* de $! Inf("'!i0n e 2"(te-e $! Se-"id!d Inf("'4ti! $a !eguridad nformática debe vigilar principalmente las siguientes propiedades: Identificación

Es un código o contrasea ue se emita aun usuario autorizado de la red, ue debe mantener la confiabilidad de ello para ingresar a la red, los usuarios solo reuieren utilizar su D o contrasea. Privacidad 

  $a información debe ser vista y manipulada *nicamente por uienes tienen el derec#o o la autoridad de #acerlo. %n e"emplo de ataue a la Privacidad es la Divulgación de nformación &onfidencial. Integridad

$a información debe ser consistente, fiable y no propensa a alteraciones no deseadas. %n e"emplo de ataue a la ntegridad es la modificación no autorizada de saldos en un sistema bancario o de calificaciones en un sistema escolar. Disponibilidad 

$a información debe estar en el momento ue el usuario reuiera de ella. mplica asegurar ue los usuarios leg0timos tengan acceso a la información y a los recursos permitidos .%n ataue a la disponibilidad es la negación de servicio 5En nglés Denial of !ervice o Do!6 o . P9$)&A! DE &92)3A)A&?2 &asi todas las instituciones cuentan con un procedimiento de contratación bien estructurado y de rutina4 sin embargo, en muc#os casos éste se aplica con demasiada fle'ibilidad. Desde el punto de vista de la seguridad, las caracter0sticas más importantes de una pol0tica de contratación son:

•

1erificación de referencias y antecedentes de seguridad Pruebas psicológicas

•

E'ámenes médicos

•

$a verificación de las referencias normalmente se pasa por alto. (uc#as empresas se muestran renuentes a proporcionar referencias *tiles, debido a razones legales o de otra 0ndole. Esto representa ciertas dificultades para evaluar la aceptabilidad de un solicitante.

3.1.6 METODOLOGIAS ) 7ERRAMIENTAS PARA LA ADMINISTRACIÓN DE RIESGOS EN GENERAL  Apuntes de la Profra. Nacira Mendoza Pinto

CUANTITATIVA

CUALITATIVA8SUBJETIVA

%tiliza modelos matemáticos. Proporciona una cifra nternet ;ate/ay 1P2Hare !ystem

ESPIONAJE El Esp0a 9mniuad Detective P& !py !nooper   AU !py 3emote1ie/ Hatc#er  Jeyboard (onitor  !pyAny/#ere (y;uardian !tealt# Activity &anary Event&ontrol JeyJey Des8top !urveillance !tealt# Jeyboard nterceptor  -oss Every/are  Apps)ra8a Date Edit ntra!py

!pyV Hin;uardian Jey $ogger  Pass/ord 3evealer   Activity (onitor  !ystem !py  Alot (onica !pector  !tealt# $ogger   A!& !py !upervision&am

FILTROS PARA INTERNET &ommand1ie/ (essage nspector &yber Attac8 Defense !ystem &yber !entinel Digital D eI!/eeper  ;o !ecureV (ailI;ear (ail!/eeper (ail1ault Predator ;uard PrivateI 3eal !ecure !#ields %P !igaba!ecure !mart7ilter  HE-s/eeper Horld !ecure (ail

FIRE