Tecnologa de la Informacin

Profesora Ariana Rosenthal

Seguridad y Control de los SI

Materia: Tecnologa de la Informacin Curso: Profesora Ariana Rosenthal Pgina 1 09/01/2005

Seguridad y Control de los SI.

Agenda
1. Importancia de Controlar los Sistemas de Informacin

2.
3. 4. 5.

Amenazas a los Sistemas de Informacin

Entorno de Control de los Sistemas Informacin Auditoria de Sistemas Aseguramiento de la Calidad de Software

Materia: Tecnologa de la Informacin Curso: Profesora Ariana Rosenthal

Pgina 2 09/01/2005

Seguridad y Control de los SI.

Importancia de Controlar los S.I.
Dado el alto grado de penetracin de la informtica en la vida cotidiana domstica y organizacional, cualquier tipo de fallo en los sistemas de informacin pueden producir catstrofes importantes. A los efectos de minimizar el impacto de las amenazas, las empresas necesitan implementar un sistema de control del sistema de informacin.

Conceptos importantes:

Amenazas
Controles Seguridad

Riesgo latente, accin que genera temor.

Intervenciones realizadas con el objeto de prevenir cualquier posible desvo respecto a lo
que se pretenda.

Polticas, procedimientos y medidas tcnicas que se aplican para evitar cualquier tipo de
fallo, robo, alteracin a los S.I.

Materia: Tecnologa de la Informacin Curso: Profesora Ariana Rosenthal

Pgina 3 09/01/2005

Seguridad y Control de los SI.

Amenazas a los Sistemas de Informacin
Amenaza
Problemas de Telecomunicaciones

Descripcin de las mismas

Alto Intercambio de informacin que aumenta los canales de acceso a los datos desde diferentes fuentes.
Fallos en establecer y/ mantener una comunicacin. Cortes de comunicacin inesperado. Falta de seal en redes inalmbricas.

Intrusin

Acceso no autorizado a una red de computadoras. Este acceso puede o no contar con robo alteracin al sistema y/ sus datos. _Cuando una persona realiza la intrusin: Se las llama genricamente Hackers. Sin embargo, existe una denominacin especfica de acuerdo al tipo de vandalismo informtico, a saber:

Cracker Phreaker Hacker Pirata informtico Carding Trashing

_Cuando se trata de una intrusin mediante un programa, esto se conoce como Virus. Existen varios tiposde virus: Virus mutantes o polimrficos Virus de Booteo Virus de archivo
Virus de sobreescritura
Materia: Tecnologa de la Informacin Curso: Profesora Ariana Rosenthal

Virus de macros Gusanos o Worms.

Etc.
Pgina 4 09/01/2005

Caballo de Troya
Virus residentes

Seguridad y Control de los SI.

Amenazas a los Sistemas de Informacin (Cont)
Amenaza
Robo

Descripcin de las mismas

Puede ser de informacin, datos y/ de equipos o soportes fsicos

Fallos de Hardware

Rotura de equipos Catstrofes del entorno Virus

Fallos de Software

Errores en la codificacin del Software (Bugs)

Errores producidos en el ingreso de los datos. Virus

Errores producidos por el volumen (ya sea de usuarios concurrentes, de procesos activos, etc)
Los errores llevan a una mala calidad de la informacin y pueden impactar negativamente en la toma de decisiones.

Catstrofes

Incendios
Fallos en el suministro elctrico Inundaciones Sismos

Materia: Tecnologa de la Informacin Curso: Profesora Ariana Rosenthal

Pgina 5 09/01/2005

Seguridad y Control de los SI.

Amenazas a los Sistemas de Informacin (Cont.)
Origen de las amenazas:
Factores tcnicos Factores de organizacin Factores del entorno. Combinados con malas decisiones gerenciales o la falta de decisin.

Virus informtico: software que puede

Destruir datos Perturbar el normal funcionamiento del procesador Vulnerar la privacidad y confidencialidad de la informacin Bloquear y/o congestionar el trfico en las redes e Internet Etc.

Materia: Tecnologa de la Informacin Curso: Profesora Ariana Rosenthal

Pgina 6 09/01/2005

Seguridad y Control de los SI.

Entorno de Control de los Sistemas Informacin
La implementacin de controles minimiza los riesgos a los que estn expuestos los S.I.

Los controles son una combinacin de medidas manuales y automatizadas que cuidan de la
seguridad de los activos, la exactitud y fiabilidad de los registros contables y el cumplimiento operativo de las normas gerenciales.

Tipos de controles:
Controles Generales Controles amplios que monitorean el funcionamiento
eficaz de los procedimientos programados en todas las Areas de aplicacin.

Controles de Aplicacin

Controles especficos y exclusivos de cada una de las

aplicaciones computarizadas.

Materia: Tecnologa de la Informacin Curso: Profesora Ariana Rosenthal

Pgina 7 09/01/2005

Seguridad y Control de los SI.

Entorno de Control de los Sistemas Informacin (Cont)
Controles Generales
Control de Implementacin

Descripcin de los mismos

Audita el proceso de desarrollo de sistemas para asegurar que siga las pautas de calidad para el desarrollo, conversiones y pruebas.

Control de Software
Control de Hardware

Monitorea el uso del software de sistemas y evita el acceso no autorizado a los programas de aplicacin y al software de sistemas.
Cuida que el equipo est protegido fsicamente contra incendios y extremos de temperatura y humedad. Debe garantizar la continuidad operativa ante desastres, implementando respaldos tanto de hardware como de datos. Ejercido sobre la labor del centro de cmputos. Garantiza que los procedimientos programados se apliquen de forma congruente y correcta al almacenamiento y procesamiento de datos.

Control de Operaciones de Computacin Control de Seguridad de los datos Control Administrativo

Garantiza que los archivos de datos de negocios no sufran accesos no autorizados, alteraciones o destruccin.
Normas, reglas, procedimientos y disciplinas de control formalizados. Asegura que los controles generales y de aplicacin de la organizacin se apliquen y cumplan debidamente.

Materia: Tecnologa de la Informacin Curso: Profesora Ariana Rosenthal

Pgina 8 09/01/2005

Seguridad y Control de los SI.

Entorno de Control de los Sistemas Informacin (Cont)
Controles de Aplicacin
Control de Entrada

Descripcin de los mismos

Verifica la exactitud e integridad de los datos cuando entran en el sistema. Son controles para evitar errores en las entradas, conversiones y/ ediciones de datos. Es posible establecer totales de control.

Control de Procesamiento

Determina si los datos estn completos y son exactos durante la actualizacin. Se pueden establecer totales de control de serie, el cotejo por computadora y verificaciones de edicin.

Control de Salida

Monitorea que los resultados del procesamiento sean correctos, estn completos y se distribuyan debidamente

Materia: Tecnologa de la Informacin Curso: Profesora Ariana Rosenthal

Pgina 9 09/01/2005

Seguridad y Control de los SI.

Entorno de Control de los Sistemas Informacin (Cont)
Qu medidas se pueden implementar para las amenazas existentes? (Algunos ejemplos)
Virus Personas intrusas Desastres Fallos de Software Antivirus, no permitir el uso de disquettes para el traslado de informacin. Firewalls, Sistemas de deteccin de intrusiones. Resguardos completos y/ incrementales, Espejado de discos, Planes de Recuperacin en caso de desastres. Controles de entrada, Implementar metodologa estandarizada para el desarrollo/mantenimiento de sistemas y efectuar auditoras sobre el uso de la misma, Controles de salida.

Problemas de telecomunicacin

Cifrado, Firma Digital, Certificado Digital, Integridad del mensaje.

Seguridad en Transacc. Electrnicas Transmisin Electrnica Inviolable (SET- Tarj. Crdito), Ecash
Materia: Tecnologa de la Informacin Curso: Profesora Ariana Rosenthal Pgina 10 09/01/2005

Seguridad y Control de los SI.

Auditoria de Sistemas
La Auditoria de Sistemas se ejerce sobre los procesos de control implementados.

Las tareas de la Auditoria son:

Analizar exhaustivamente el cumplimiento de todos los controles que rigen sobre los sistemas de informacin Enumerar las deficiencias de control detectadas. Estimar la probabilidad de ocurrencia de las deficiencias mencionadas Evaluar el impacto en las finanzas y en la organizacin de dichas deficiencias Proponer posibles mejoras en los controles que se efectan.

Las tcnicas posibles de utilizar en la auditoria son:

Entrevistas y revisin de documentacin. Control del flujo completo de transacciones. Utilizacin de herramientas de auditoria automatizadas.

Materia: Tecnologa de la Informacin Curso: Profesora Ariana Rosenthal

Pgina 11 09/01/2005

Seguridad y Control de los SI.

Aseguramiento de la Calidad del Software
Definiciones Importantes:
Calidad, Calidad del Software Aseguramiento de la Calidad

Soluciones a los principales problemas de calidad del Software:

Uso de metodologas apropiadas Asignacin de los recursos necesarios durante el desarrollo Implementacin de mtricas de software Desarrollo de pruebas exhaustivas Utilizacin de herramientas de calidad. Actualmente existen estndares internacionales que detallan los elementos necesarios y los pasos a seguir para asegurar la calidad del proceso de desarrollo/implementacin de Sistemas. ISO 9000-3 CMM
Pgina 12 09/01/2005

Materia: Tecnologa de la Informacin Curso: Profesora Ariana Rosenthal