FACULTAD DE CIENCIAS EMPRESARIALES

ESCUELA ACADEMICO PROFESIONAL DE CONTABILIDAD Y

AUDITORIA

AUDITORIA DE LA SEGURIDAD LOGICA

ASIGNATURA

PROFESOR

ALUMNAS

: auditoria de sistemas

: RODRIGUEZ ARONI, DIAC

: SULCA QUISPE, MARLENE

VIZCARRA CHACON, NORIANA

Ciclo

: IX

AYACUCHO PERU
2015

INTRODUCCION
La evolucin normal del concepto de seguridad en una sociedad de la
informacin y el conocimiento, hace que las estrategias de seguridad
de la antigedad cobren vida en un mundo regido por los " bits y
bytes ." Todas las condiciones de seguridad analizadas en el aparte
anterior tienen sus equivalentes en el mundo de la informtica y la
tecnologa.
Existe un viejo dicho en la seguridad informtica que dicta que todo
lo que no est permitido debe estar prohibido y esto es lo que debe
asegurar la seguridad lgica, podemos pensar en la seguridad lgica
como la manera de aplicar procedimientos que aseguren que solo
podrn tener acceso a los datos la personas los sistemas de
informacin autorizados
Dentro de la seguridad informtica, la seguridad lgica hace
referencia a la aplicacin de mecanismos y barreras para mantener el
resguardo y la integridad de la informacin dentro de un sistema
informtico. La seguridad lgica se complementa con la seguridad
fsica. Ya que la seguridad lgica de un sistema informtico restringe
al acceso de programas y archivo mediante claves y/o encriptaciones
para asignar delimitaciones correspondientes a cada usuario del
sistema informtico. Esto significa no darle ms privilegios extras a un
usuario, sino solo los que necesitan para realizar su trabajo
asegurndose que los archivos y programas que se emplean son los
correctos y se usan correctamente, esto incluye que una determinada
informacin llegue solamente al destino que se espera y llegue tal y
cual se envi.

Garantizar que los recursos informticos de una compaa estn

disponibles para cumplir sus propsitos, es decir, que no estn
daados o alterados por circunstancias o factores externos, es una
definicin til para conocer lo que implica el concepto de seguridad
informtica. En trminos generales, la seguridad puede entenderse
como aquellas reglas tcnicas y/o actividades destinadas a prevenir,
proteger y resguardar lo que es considerado como susceptible de
robo, prdida o dao, ya sea de manera personal, grupal o
empresarial. En este sentido, es la informacin el elemento principal a
proteger, resguardar y recuperar dentro de las redes empresariales.

POR QU ES TAN IMPORTANTE LA SEGURIDAD?

Por la existencia de personas ajenas a la informacin, tambin
conocidas como piratas informticos o hackers, que buscan tener
acceso a la red empresarial para modificar, sustraer o borrar datos.
Tales

personajes

pueden,

incluso,

formar

parte

del

personal

administrativo o de sistemas, de cualquier compaa; de acuerdo con

expertos en el rea, ms de 70 por ciento de las violaciones e
intrusiones a los recursos informticos se realiza por el personal
interno, debido a que ste conoce los procesos, metodologas y tiene
acceso a la informacin sensible de su empresa, es decir, a todos
aquellos datos cuya prdida puede afectar el buen funcionamiento de
la organizacin.
Esta situacin se presenta gracias a los esquemas ineficientes de
seguridad con los que cuentan la mayora de las compaas a nivel
mundial, y porque no existe conocimiento relacionado con la
planeacin de un esquema de seguridad eficiente que proteja los
recursos informticos de las actuales amenazas combinadas.
El resultado es la violacin de los sistemas, provocando la prdida o
modificacin de los datos sensibles de la organizacin, lo que puede
representar un dao con valor de miles o millones de dlares.

Luego de ver como el sistema puede verse afectado por la falta de

seguridad fsica, es importante recalcar que la mayora de los daos
que puede sufrir un centro de cmputo no ser sobre los medios
fsicos sino contra informacin por l almacenada y procesada. As, la
seguridad fsica slo es una parte del amplio espectro que se debe
cubrir para no vivir con una sensacin ficticia de seguridad. Como ya
se ha mencionado, el activo ms importante que se posee es la
informacin, y por lo tanto deben existir tcnicas, ms all de la
seguridad fsica que la asegure. Estas tcnicas las brinda la Seguridad
Lgica.
La Seguridad Lgica consiste en la aplicacin de barreras y
procedimientos que resguarden el acceso a los datos y slo se
permita acceder a ellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informtica que dicta que todo
lo que no est permitido debe estar prohibido y esto es lo que debe
asegurar la Seguridad Lgica.

AUDITORIA DE LA SEGURIDAD LGICA

Una auditoria de seguridad lgica se centra en auditar aspectos
tcnicos de la infraestructura TIC contemplando tantos aspectos de
diseo de la arquitectura desde el punto de vista de la seguridad,
como aspectos relacionados con los mecanismos de proteccin
desplegados para hacer frente a todo tipo de incidentes lgicos
La auditora revisa la seguridad lgica verifica que exista los
procedimientos necesarios para controlar todos los componentes y
que las configuraciones de cada componente no permiten que se
pueda acceder sin conocimiento de la gestin de TI.
Una auditoria ms profunda, pasa a la revisin de permisos
especficos asignados por usuario, de tal forma que se establezca que
no existe acceso y privilegios asignados adicionales a los necesarios
para cumplir con su perfil de trabajo. Incluso se puede utilizar

herramientas

de

hackeo

tico,

para

lograr

probar

que

la

infraestructura lgica est bien configurada y no est dejando

vulnerabilidades expuestas. Este anlisis realizado por la auditoria
provee a la alta direccin un nivel adicional de garanta de que la
seguridad lgica est siendo bien administrada y en el peor de los
casos, si el anlisis de auditoria descubre hallazgo, de qu medidas
correctivas se estn tomando y la seguridad lgica del acceso a datos
ser mejorada.

SEGURIDAD LOGICA
La seguridad lgica se refiere a la seguridad en el uso de software y
los sistemas, la proteccin de los datos, los procesos y programas, as
como la del acceso ordenado a la informacin. Se conoce tambin a la
seguridad lgica como la manera de aplicar procedimientos que
aseguren que solo podrn tener acceso a los datos las personas o
sistemas de informacin autorizadas.
La seguridad lgica al referirse a controles lgicos dentro del software
se implementa mediante la construccin de contraseas en diversos
niveles del sistema donde permita solo el acceso en base a niveles de
seguridad de usuarios con permiso, en base al sistema operativo que
use como plataforma el sistema a implantarse puede considera
adems a nivel cdigo, algoritmos que generen claves para poder
encriptar los archivos de contrasea dentro del sistema lo cual
permite una mayor seguridad en un entorno de red. Generar un
mdulo del sistema para la emisin de reportes para el administrador
del sistema en donde se muestre tablas de uso del sistema as como
los usuarios y los niveles de acceso por parte de los cuales para poder
determinar el uso y acceso al sistema.
La seguridad lgica se encarga de los controles de acceso que estn
diseadas

para

salvaguardar

la

integridad

de

la

informacin

almacenada de una computadora, as como de controlar el mal uso

de la informacin. La seguridad lgica se encarga de controlar y

salvaguardar la informacin generada por los sistemas, por el
software de desarrollo y por los programas en aplicacin de barreras y
procedimientos que resguarden el acceso a los datos y solo se
permita acceder a ellos a las personas autorizadas para hacerlo.
OBJETIVOS

Restringir el acceso a los programas y archivos.

Asegurar que los operadores puedan trabajar

sin

una

supervisin minuciosa y no puedan modificar los programas ni

los archivos que no correspondan.

Asegurar que se estn utilizando los

programas correctos y por el procedimiento correcto

Que la informacin transmitida sea recibida solo por el

destinatario al cual ha sido enviado y no a otro

Que la informacin recibida sea la misma que ha sido

transmitida.
Que existan sistemas alternativos secundarios de transmisin

entre diferentes puntos.

Que se disponga de pasos alternativos de emergencia para la

datos, archivos y

transmisin de informacin.
CONSECUENCIAS Y RIESGOS
Algunas consecuencias y riesgos que podra traer a la empresa la falta
de seguridad lgica son:

cambio de datos
copias de programas y/o informacin
cdigo oculto en programas
entrada de virus
los programas pueden ser modificados
robo de archivos, datos y programas
manipulacin de informacin.

TECNICAS DE CONTROL DE ACCESOS

Estos controles pueden implementar en la BIOS, el S.O, sobre los
sistemas de aplicacin, en las DB, en un paquete especificado de
seguridad, etc. Constituye una importante ayuda para proteger al S.O
de la red, a la sistema de aplicacin y dems software de la utilizacin
o modificacin no autorizada para mantener la integridad de la

informacin y para resguardar la informacin confidencial de accesos

no autorizados. Adems de estos es conveniente tener en cuenta
otras consideraciones referidas a la seguridad lgica como por
ejemplo las relaciones al procedimiento que se lleva a cabo para
determinar si corresponde un permiso de acceso.
RUTAS DE ACCESO
El esquema de las rutas de acceso sirve para identificar todos los
puntos de control que puede ser usado para proteger los datos en el
sistema.
El auditor debe conocer las rutas de acceso para la evaluacin de los
puntos de control apropiadas.

1.- IDENTIFICACION Y AUTENTIFICACION

Se denomina identificacin al momento en que el usuario se da a
conocer en el sistema y autenticacin a la verificacin que se realiza
en el sistema sobre esta identificacin existen cuatro tipos de
tcnicas que permiten realizar la autenticacin del usuario, las cuales
pueden ser utilizadas individual mente o combinadas:

Algo
Algo
Algo
Algo

que
que
que
que

solamente el individuo conoce: una clave, un pin, etc.

la persona posee: una tarjeta.
el individuo es: huella digital o la voz.
el individua es capaz de hacer: patrones de escritura.

2.- PASSWORD SEGURAS

Una contrasea segura debe parecer a una cadena aleatoria de
caracteres, pueden conseguir que su contrasea sea segura por los
siguientes criterios.
que no sea corta, cada carcter que agrega a su contrasea
aumenta espontanea mente el grado de proteccin que esta
ofrece, las contraseas deben contener como mnimo de 8

caracteres lo ideal es que contengan 14 o ms.

combina letras, nmeros y smbolos, cuanto ms diversos sean los
tipos de carcter ms difcil ser adivinarla.

Cuantos menos tipos de caracteres haya en la contrasea mas

larga deber ser esta. Una contrasea de 15 caracteres formada
nicamente por letras y nmeros es una 33000 veces ms segura
que una de 8 caracteres compuestos por caracteres de todo tipo.
Si

la

contrasea

no

puede

tener

smbolos

deber

ser

considerablemente ms larga para conseguir el mismo grado de

proteccin
Utiliza todo tipo de teclas, no te limites a los caracteres ms
comunes los smbolos que necesitan que se presione la tecla
mayscula junto con un nmero son muy habituales, tu
contrasea ser mucho ms segura si eliges entre todos los
smbolos del teclado incluidos los smbolos de puntuacin as
como los exclusivos de tu idioma.
Cuida tus contraseas y frases codificadas tanto como la
informacin que protegen, no la reveles a nadie, protege las
contraseas

registradas,

no

las

facilites

nunca

por

correo

electrnico, cambia tus contraseas con regularidad y no las

escribas en equipos que no controlas

Opcin de contrasea en blanco: Una contrasea en blanco en su
cuenta es mas segura que una contrasea poco segura como
1234, puedes optar por usar contraseas en blanco en la cuenta
del equipo si se cumplen estos criterios: Tiene solo un equipo o
bien tiene varios pero no necesita obtener acceso a la informacin
de un equipo desde los otros El equipo es fsicamente seguro
(confas en todas las personas que tienen acceso fsico al equipo).
No siempre es buena idea usar una contrasea en blanco, por
ejemplo es probable que un equipo porttil no sea fsicamente
seguro.

3.- CODIGO O LLAVE DE ACCESO

Las llaves de acceso deben tener las siguientes caractersticas:
la llave de acceso debe ser de una longitud adecuada para ser un

secreto
la llave de acceso no debe ser desplegable cuando es tecleada.
las llaves de accesos debe ser encintadas.

las llaves de acceso deben de prohibir el uso de nombres,

palabras o caracteres difciles de retener. se recomienda la

combinacin de caracteres alfabticos y numricos.

SOFTWARE DE CONTROL DE ACCESO
El software de control de acceso, tienen las siguientes funciones:
definicin de usuario
definicin de las funciones del usuario despus de accesar el
sistema (jobs).
establecimiento de auditoria a travs del uso del sistema.
La mayor ventaja del software de seguridad es la capacidad para
proteger

los

recursos

de

acceso

no

autorizados,

incluido

los

siguientes:
Procesos en espera de modificacin por un programa de
aplicacin.
Accesos por editores en lnea.
Accesos por utileras de software.
Accesos a archivos de las bases de datos, a travs de un
manejador de base de datos.
Accesos de terminales o estaciones no autorizadas

SOFTWARE MANEJADOR DE BASE DE DATOS

Es un software cuya finalidad es la de controlar, organizar y manipular
los datos. Provee mltiples caminos para acceso a los datos en una
base de datos. Maneja la integridad de ellos entre operaciones,
funciones y tareas de la organizacin.
Software de consolas o terminales maestras
Puede ser definido como varios programas del sistema operativo que
proveen soporte y servicio para que las terminales en lnea accedan a
los programas en aplicacin.
SOFTWARE DE LIBRERAS
Consta de datos y programas especficos escritos para ejecutar una
funcin de la organizacin. Los programas en aplicacin pueden ser
guardados en archivos en el sistema, y el acceso a estos programas

pueden ser controlados por medio del software usado para controlar
el acceso a estos archivos.
SOFTWARE DE UTILERAS
Existen dos tipos de utileras. El primero es usados en los sistemas de
desarrollo para proveer productividad. El desarrollo de programas y
los editores en lnea son los ejemplos de este tipo de software. El
segundo es usado para asistir en el manejo de operaciones de la
computadora. Monitoreos, calendarios de trabajo, sistema manejador
de disco y cinta son ejemplos de este software.

TIPOS DE SEGURIDAD LGICA

Encriptamiento:
Los datos se enmascaran con una clave especial creada mediante un
algoritmo de encriptacin. Emisor y receptor son conocedores de la
clave y a la llegada del mensaje se produce el descifrado. El cifrado
de

los

datos

encriptacin

fortalece

la

confidencialidad,

generalmente se utiliza para protegerte del robo de identidad,

cuentas de banco etc.
FIRMAS DIGITALES:
Se utiliza para la transmisin de mensajes telemticos y en la gestin
de documentos electrnicos (por ejemplo, gestiones en oficinas
virtuales). Su finalidad es identificar de forma segura a la persona o al
equipo que se hace responsable del mensaje o del documento.
Protege la integridad y la confidencialidad de la informacin.
CERTIFICADOS DIGITALES:
Son documentos digitales mediante los cuales una entidad autorizada
garantiza que una persona o entidad es quien dice ser, avalada por la
verificacin

de

su

clave

pblica.

confidencialidad de la informacin.
CORTAFUEGOS (FIREWALL):

Protege

la

integridad

la

Se trata de uno o ms dispositivos de software, de hardware o mixtos

que permiten, deniegan o restringen el acceso al sistema. Protege la
integridad de la informacin.
ANTIVIRUS:
Detectan e impiden la entrada de virus y otro software malicioso. En
el caso de infeccin tiene la capacidad de eliminarlos y de corregir los
daos que ocasionan en el sistema. Preventivo, detector y corrector.
Protege la integridad de la informacin.
CONTROL DE ACCESO:
Mediante nombre de usuario y contraseas.
EJEMPLO
Puertos de llamada telefnica
Identificar usuario remoto
Lnea de respuesta de llamada
Cdigo de usuario y software de control de acceso
Operador para verificar identidad
EJEMPLO
Control de Asistencia ANSII-Biolite-Net
Control de acceso y asistencia mediante teclado numrico, tarjetas
de proximidad o Huellas Digitales con la lectora de huellas dactilares
para Control de Asistencia y Control de Acceso

ms pequea del

mundo.

CONCLUSIN
El objetivo de la Auditoria Seguridad lgica de Informacin es, por un
lado, mostrar el posicionamiento con relacin a la seguridad, y por
otro lado servir de base para desarrollar los procedimientos concretos
de

seguridad.

La

empresa

debe

disponer

de

un

documento

formalmente elaborado sobre el tema y que debe ser divulgado entre

todos los empleados. No es necesario un gran nivel de detalle, pero

tampoco ha de quedar como una declaracin de intenciones. Lo ms
importante para que estas surtan efecto es lograr la concienciacin,
entendimiento y compromiso de todos los involucrados.

DEDICATORIA
Esta pequea monografa se
la dedicamos a todos
mis compaeros de estudios

Para que conozcan

un poco ms sobre la auditoria de seguridad lgica