Bienvenidos

UNIVERSIDAD DE ORIENTE
NCLEO MONAGAS
DEPARTAMENTO DE INGENIERA DE SISTEMAS
APLICACIN Y AUDITORIA DE SISTEMAS DE INFORMACIN

Seguridad en la
Auditora

Realizado por:

Profesora:

Carvajal, Argenis

Vivenes, Nelsy

Contreras. Miguel
Gil, Argenis
Paris, Iliana
Vsquez, Jos

Maturn, Enero de 2015

Villarroel, Zainer

Seguridad Informtica
Es un estado de cualquier sistema (informtico o no) que nos indica que ese
sistema est libre de peligro, dao o riesgo. Se entiende como peligro o dao
todo aquello que pueda afectar su funcionamiento directo o los resultados que se
obtienen del mismo.

Villarroel, Zainer

Para que un Sistema se considere como seguro tiene que poseer:

Integridad.

Disponibilidad.

Confidencialidad.

Irrefutabilidad

Villarroel, Zainer

Trminos que se toman en cuenta al momento de hablar de

seguridad informtica:
Activo.
Amenaza.
Impacto.
Riesgo.
Vulnerabilidad.
Ataque.
Desastre o Contingencia.

Villarroel, Zainer

Auditoria de Sistemas
nfasis en la revisin,
evaluacin
y
elaboracin
de
un
informe

La actividad dirigida a
verificar
y
juzgar
informacin.

La revisin y la evaluacin de los controles, sistemas,

procedimientos de informtica; de la organizacin que
participan en el procesamiento de la informacin, a fin
de que por medio del sealamiento de cursos
alternativos se logre una utilizacin ms eficiente y
segura de la informacin que servir para una
adecuada toma de decisiones.
Paris, Iliana

Auditoria de Seguridad de Sistemas de

Informacin

Estudio, Anlisis
y Gestin

Identificar,
Enumerar y
Describir

Vulnerabilidades
en las estaciones
de trabajo
Paris, Iliana

Fases de una Auditoria de

Seguridad
Enumeracin de redes, topologas y protocolos
Verificacin del Cumplimiento de los estndares internacionales
Identificacin de los sistemas operativos instalados
Anlisis de servicios y aplicaciones
Deteccin, comprobacin y evaluacin de vulnerabilidades
Medidas especficas de correccin
Recomendaciones sobre implantacin de medidas preventivas.
Paris, Iliana

Tipos de auditoria de Seguridad

Auditora de Seguridad Interna
Auditoria de Seguridad Perimetral
Test de Intrusin
Anlisis Forense
Auditoria de Pgina Web
Auditoria de Cdigo de Aplicacin
Paris, Iliana

Seguridad lgica y confidencialidad

Qu es?

Carvajal, Argenis

La falta de seguridad lgica o su violacin puede traer las siguientes

consecuencias a la organizacin:
Cambio de los datos antes o cuando se le da entrada a la computadora.
Copias de programas y /o informacin.
Cdigo oculto en un programa.
Entrada de virus.

Carvajal, Argenis

Objetivos principales de la seguridad lgica y confidencial, son los

siguientes:
Integridad.
Disponibilidad.
Evitar el rechazo.
Autentificacin.
Confidencialidad.

Carvajal, Argenis

reas de la seguridad lgica:

Rutas de acceso.
Claves de acceso.
Software de control de accesos.

Encriptamiento.

Carvajal, Argenis

Como realizar la auditoria de la seguridad lgica?

Se debe:
Clasificar la instalacin en trminos de riesgo.
Identificar aquellas aplicaciones que tengan un alto riesgo.
Identificar aquellas aplicaciones que tengan un alto riesgo.
Cuantificar el impacto en el caso de suspensin del servicio en aquellas
aplicaciones con un alto riesgo.
Y para la justificacin del costo hay que preguntarse:
Qu sucedera si no se puede usar el sistema?
Qu implicaciones tiene el que no se obtenga el sistema y cunto tiempo podramos
estar sin utilizarlo?
Existe un procedimiento alterno y que problemas nos ocasionara?

Que se ha hecho para un caso de emergencia? las medidas preventivas

que se deben tomar, as como las correctivas en caso de desastre
sealndole a cada uno su prioridad.
Carvajal, Argenis

Estimacin De Riesgos
La estimacin de riesgos describe cmo estudiar los riesgos dentro de la
planeacin general del entorno informtico y se divide en los siguientes
pasos:
La identificacin de riesgos.
El anlisis de riesgos.
La asignacin de prioridades a los riesgos.

Contreras. Miguel

Encriptamiento
Qu es?

Contreras. Miguel

Seguridad DEL personal.

Definicin del acceso no autorizado:
Este acceso puede tomar muchas formas, como el uso de la cuenta de otro
usuario para tener acceso a la red y sus recursos. En general, se considera que
el uso de cualquier recurso de la red sin permiso previo es un acceso no
autorizado. En algunos sitios, el solo hecho de conceder acceso a un usuario
no autorizado puede causar daos irreparables por la cobertura negativa de los
medios.

Gil, Argenis

Riesgo de revelacin de informacin.

La revelacin de informacin, ya sea voluntaria o involuntaria, es otro tipo de
amenaza.
Para muchas organizaciones, un vistazo, a una propuesta o un proyecto de
investigacin que represente muchos aos de trabajo puede darle a su
competidor una ventaja injusta.

Gil, Argenis

Identificacin de quien est autorizado para usar los recursos

de la red:
Debe hacerse una lista de los usuarios que necesitan acceso a los recursos de
la red. La mayora de estos pueden dividirse en grupos como:
Usuarios de contabilidad.
Abogados corporativos.
Ingenieros, entre otros.

Tambin debe tomar en cuenta una clase llamada usuarios externos esta se
compone de los usuarios que tengan acceso a su red desde otras partes, como
estaciones de trabajo autnomas y otras redes; pueden no ser empleados, o bien,
pueden ser empleados que tengan acceso a la red desde sus hogares o durante un
viaje.

Gil, Argenis

Identificacin del uso adecuado de los recursos:

Una vez determinados los usuarios autorizados a tener acceso a los recursos de
la red, usted debe establecer los lineamientos del uso aceptable de dichos
recursos. Los lineamientos dependen de la clase de usuarios, como
desarrolladores de software, estudiantes, profesores, usuarios externos, entre
otros . Debe tener lineamientos aparte para cada clase. La poltica debe
establecer qu tipo de uso es aceptable y cual es inaceptable, as como que tipo
de uso est restringido.

Gil, Argenis

Determinacin de las responsabilidades del usuario:

La siguiente es una lista de los aspectos que usted puede abordar respecto de las
responsabilidades de los usuarios:
1. Lineamientos acerca del uso de los recursos de red, tales como que los usuarios estn
restringidos.
2. Que constituye un abuso en trminos de usar recursos de red y afectar el desempeo del
sistema y de la red.
3. Esta permitido que los usuarios compartan cuentas o permitan a otros usar la suya.
4. Pueden los usuarios revelar su contrasea en forma temporal, para permitir que otros que
trabajen en un proyecto tengan acceso a sus cuentas.
5. Poltica de contrasea de usuario: con qu frecuencia deben cambiar de contrasea los
usuarios y que otras restricciones o requerimientos hay al respecto.
6. Los usuarios son responsables de hacer respaldos de sus datos o es esto responsabilidad del
administrador del sistema.
7. Consecuencias para los usuarios que divulguen informacin que pueda estar patentada.
8. Una declaracin sobre la privacidad del correo electrnico (Ley de Privacidad en las
Comunicaciones Electrnicas).
9. Una poltica respecto a correo o publicaciones controversiales en las listas de correo o
grupos de discusin.
10. Una poltica sobre comunicaciones electrnicas, tales como falsificacin de correo.
Gil, Argenis

Seguridad en un centro de cmputo

La seguridad informtica debe vigilar principalmente las siguientes
propiedades:
Privacidad: Un ejemplo de ataque a la privacidad es la divulgacin de
informacin confidencial.
Integridad: Un ejemplo de ataque a la integridad es la modificacin no
autorizada de saldos en un sistema bancario o de calificaciones en un
sistema escolar.
Disponibilidad.

Vsquez, Jos

Divisin de las reas de administracin de la seguridad:

Para simplificar, es posible dividir las tareas de administracin de seguridad en
tres grandes rublos. Estos son:
1.

Autenticacin.

2.

Autorizacin.

3.

Auditora.

Vsquez, Jos

Personal participante:
Una de las partes ms importantes dentro de la planeacin de la auditoria en
informtica es el personal que deber participar y sus caractersticas.
El personal que intervengan debe estar debidamente capacitado.
Debe tener alto sentido de moralidad, al cual se le exija la optimizacin de
recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.
Poseer suficiente nivel para poder coordinar el desarrollo de la auditoria.
Para completar el grupo, como colaboradores directos en la realizacin de la auditoria se
debe tener personas con las siguientes caractersticas:
Tcnico en informtica.
Experiencia en el rea de informtica.
Experiencia en operacin y anlisis de sistemas.
Conocimientos de los sistemas ms importantes.

Vsquez, Jos

ESTNDARES DE SEGURIDAD DE LA
INFORMACIN
ISO/IEC 27000-series: La serie de normas ISO/IEC 27000 son estndares de
seguridad publicados por la Organizacin Internacional para la Estandarizacin
(ISO) y la Comisin Electrotcnica Internacional (IEC).
La serie contiene las mejores prcticas recomendadas en Seguridad de la
informacin para desarrollar, implementar y mantener especificaciones para los
Sistemas de Gestin de la Seguridad de la Informacin (SGSI).
COBIT: Objetivos de Control para la informacin y Tecnologas relacionadas
(COBIT, en es un conjunto de mejores prcticas para el manejo de informacin
creado por la Asociacin para la Auditoria y Control de Sistemas de Informacin,
(ISACA) y el Instituto de Administracin de las Tecnologas de la Informacin
(ITGI, en ingls: IT Governance Institute) en 1992.
ITIL: La Information Technology Infrastructure Library ("Biblioteca de
Infraestructura de Tecnologas de Informacin"), frecuentemente abreviada ITIL,
es un marco de trabajo de las mejores prcticas destinadas a facilitar la entrega de
servicios de tecnologas de la informacin (TI) de alta calidad.
Vsquez, Jos

Gracias por su
atencin!