miércoles, 1 de junio de 2016

7 Auditoria en la Seguridad Logica

7.1. Concepto de la seguridad lógica.

La seguridad lógica se encarga de los controles de acceso que están diseñadas para salvaguardar la integridad de la información almacenada en una computadora, así como de controlar el mal uso de la información, estos controles reducen el riesgo de caer en situaciones adversas.
se puede decir entonces que un inadecuado control de acceso logico incrementa el potencial de la organización para perder la información, o bien para que ésta sea utilizada en forma inadecuada; asimismo, esto hace que se vea disminuida su defensa ante competidores, el crimen organizado, perosnal desleal y voilaciones accidentales. 

7.2. Consecuencias y riesgos.

  • Cambio de los datos.
  • robos, fraudes y sabotajes
  • destruccion total
  • Copias de programas y/o información.
  • Código oculto en un programa.
  • Entrada de virus.
  • Inicios de sesión agregados (permisos a quien no debe de tenernos).

7.3. Rutas de acceso.

Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema. Los tipos de restricciones de acceso son:
  •  Sólo lectura
  •  Sólo consulta
  •  Lectura y consulta
  •  Lectura escritura para crear, actualizar, borrar, ejecutar o copiar

 

7.4. Claves de acceso.

Una clave de acceso es una combinación de letras, números y signos que debe teclearse para obtener acceso a un programa o partes de un programa determinado, un terminal u ordenador personal, un punto en la red, etc.
Muchas veces se utiliza la terminología inglesa (password) para referirse a la clave de acceso. Tambien puede ser una credencial con banda magnetica. Algo especifico del usuario como :
  • Huellas dactilares
  • Retina
  • Voz
  • Firma

 

7.5. Software de control de acceso.

El software de control de acceso tiene las siguientes funciones:
  •  Definicion de usuarios
  •  Definicion de las funciones de usuario después de accesar el sistema
  •  Establecimiento de auditoria a través del uso del sistema
La mayor ventaja del software de seguridad es la capacidad para proteger los recursos de acceso no autorizados, incluyendo a los siguientes:
  • Procesos en espera de modificación por un programa
  • De aplicación
  • Accesos por editores en línea
  • Accesos por utilería de software
  • Accesos a archivos de las bases de datos a través de un manejador de base de datos. 
  •  Accesos de terminales o estaciones no autorizadas
 Ejemplos de software de control de acceso
  • Software manejador de base de datos: Es un software cuya finalidad es la de controlar, organizar y manipular los datos. Provee multiples caminos para accesar los datos en una base de datos. Maneja la integridad de ellos entre operaciones, funciones y tareas de ka organización.
  • Software de consolas o terminales maestras: Puede ser definido como varios programas del sistema operativo que proveen soporte y servicio para que las terminales en línea accedan a los programas de esta aplicación.
 

7.6. Tipos de seguridad lógica (encriptamiento, firmas, certificados, llaves y otros). 

  • Criptografía
A lo largo de la historia el ser humano ha desarrollado unos sistemas de seguridad que le permiten comprobar en una comunicación la identidad del interlocutor (tarjetas de identificación, firmas), asegurarse que solo obtendrá la información el destinatario solicitado (correo certificado) que además ésta no podrá ser modificada (notariado) e incluso que ninguna de las dos partes podrá negar el hecho (notariado firma) ni cuando se produjo (fechado de documentos).
  •  Firma digital 
Permite al receptor verificar la autenticidad del origen de la información así como verificar que dicha información no ha sido modificada desde su generación, de este modo ofrece soporte para la autenticación e integridad así como para el no repudio en origen ya que la persona origina un mensaje firmado digitalmente no puede argumentar que no lo es.

  • Certificados digitales
Según puede interpretarse de los apartados anteriores, la eficacia de las operaciones de cifrado y firma digital basa en criptografía de clave pública solo está garantizada si se tiene la certeza de que la clave privada de los usuarios solo es conocida por dichos usuarios y que la clave pública pueda ser dada a conocer a todos los demás usuarios con la seguridad de que no exista confusión entre las claves públicas de los distintos usuarios.

 

 Fuentes

 

 

 

 

 

 

 

 

 

 

 

Publicadas por a la/s No hay comentarios.:

martes, 24 de mayo de 2016

8 Auditoria de las Telecomunicaciones

 8.1 Seguridad en Telecomunicaciones.

Las aplicaciones se hacen disponibles a los usuarios mediante una red de telecomunicaciones, y los vinculos o nexos de las telecomunicaciones pueden ser parte integral de una aplicacion usando el procedimiento distribuido o cooperativo.
Los controles requeridos de la red dependen tanto del tipo de aplicaciones que soporta la red, como del tipo de organizacion de los servidores de la red.


8.2. Vulnerabilidades, Amenazas y Riesgos. 

Los riesgos de las aplicaciones incluyen acceso no autorizado a los datos confidenciales, manipulación maliciosa de datos, interrupción de operaciones de negocio, e información inexacta o incompleta. Las aplicaciones que son en línea, altamente interactivas y caracterizadas por tiempos de respuesta rápido, comúnmente requieren de controles adicionales de telecomunicaciones. 

Durante el análisis de la red, una variedad de riesgos tiene que ser manejados incluyendo lo siguiente:
  •  Los costos de la red pueden ser demasiado altos para la actividad del negocio.
  •  Los costos de operación de la red no pueden ser totalmente proyectados al tomar la decisión del negocio.
  •  La red no puede ser entregada de una manera oportuna, causando costos excesivos y pérdidas en el negocio.
  •  La red no puede apoyar la actividad del negocio o no ser fácil de usar. 
La mayor parte de los ataques en internet se realizan sobre un pequeño número de vulnerabilidades en los sistemas y aprovechando que las organizaciones pasan por alto las revisiones constantes de los problemas detectados en las versiones de sus productos y por lo tanto no hacen las correcciones del caso.
Los riesgos de Posibles Infractores son:
  •  Crackers
  •  Hackers
  •  Vándalos
  •  Empleados.


8.3.  Objetivos y criterios a evaluar: seguridad en Internet (derechos de acceso, rectificación, cancelación y oposición), transferencias de datos, servicios de telefonía. 

En el comienzo de la auditoria, el auditor interno debe determinar el proposito del negocio con la red, ya que este puede ayudar a definir los componentes que representan el mayor riesgo.
Algunas de las fuerzas importantes que conducen el uso de las redes de telecomunicciones incluyen:
  • El servicio al cliente
  • Informes financieros
  • Administravion de procesos
  • Generacion de utilidades
  • Comunicacion interna en la organizacion 
 Un siguiente paso lógico en la planeación de los objetivos y el alcance de una auditoría de telecomunicaciones es determinar quién debe ser entrevistado.
Los  candidatos para las entrevistas de auditoría incluyen los siguientes:
  • El administrador o gerente de telecomunicaciones, quien comúnmente controla los aspectos planificadores, presupuestarios y operaciones de comunicaciones.
  • El administrador o gerente de la red, quien típicamente administra el personal y el equipo.
  • El administrador o gerente de voz, quien administra el equipo telefónico, el informe de llamadas, la facturación, instalación de teléfonos, etc.
  • El administrador o gerente de aplicaciones de comunicaciones, quien es responsable de hacer los requerimientos funcionales de las aplicaciones en la realidad técnica.


El auditor interno puede más fácilmente establecer el alcance de la auditoría utilizando un mapa de la red. Un mapa de la red debe mostrar el tramo geográfico de la red, las ubicaciones de los sitios de mayor procesamiento e instalaciones del usuario, hardware de procesamiento principal y software de aplicaciones, vínculos o nexos con la red, capacidad de la línea y el tipo de información transmitida.
Un mapa de la red puede ser tan complejo y detallado como un esquema de ingeniería o como un diagrama de localización de averías electrónicas, pero inicialmente debe ser mantenido al nivel más alto de detalle.
Junto con la popularidad de internet y la exposición de usuarios en todo el mundo ha venido una creciente amenaza de ataques hacia los sistemas y la información de las organizaciones públicas y privadas.

 Cuando se realizan negocios por internet (comercio electrónico) se tienen cuatro piedras angulares:
  • Impedir transacciones de datos no autorizados
  • Impedir alteración de mensajes después de envío
    Capacidad de determinar si la transmisión es de fuente auténtica 
  •  suplantadao Manera de impedir a un emisor, que se está haciendo pasar por otro.
Los Riesgos asociados a estos ambientes los podemos resumir en:
  •  Acceso no autorizado al Sistema.
  •  Divulgación de información confidencial.
  •  Robo o alterar información de la empresa.
  •  Denegación de Servicio.
  •  Espionaje o alteración de mensajes
  •  Transacciones fraudulentas
  •  Modificación o sabotaje de sitios web, generando pérdida de la imagen corporativa 
  •  Pérdida de recursos
  •  Uso del sistema vulnerado para realizar ataques a otros sistemas
  •  Virus, gusanos y troyanos.
  •  Instalación y uso de código malicioso.


 

8.4. Técnicas y herramientas.

Estas incluyen las siguientes: 
  • La revisión de la dirección y administración de las telecomunicaciones particularmente las políticas y procedimientos de telecomunicaciones de la organización.
  • Verificación de la integridad de la red y procedimientos de monitoreo, tales como informes de incidentes y medición del tiempo de respuesta.
  • Revisión del software de la red y seguridad de acceso; en áreas como el dial-in y el software de diagnóstico y monitoreo.
  • Revisión de los procedimientos de administración de cambios en las telecomunicaciones, particularmente los cambios en el área de software de comunicaciones.
  • Revisión de la exactitud del backup (respaldo) y recuperación de la red, mediante el examen de los procedimientos y las redundancias de backup (respaldo) en la red.
 Existen algunos ataques en el ambiente de internet, por mencionar:
  • Ataques a contraseñas.
  • Consecución de direcciones IP.
  • Scaneo de Puertos.
  • Código Dañino.
  • Captura y Análisis de Tráfico.
  • Denegación del Servicio (DOS).
  • IP Spoofing (Modificación del campo de dirección origen de los paquetes IP, por la que se desea suplantar.
 Herramientas Usadas.
Aprovechar Huecos de Seguridad en Sistemas operativos y/o Servicios: Defectos en el software, que permiten la intrusión o generan fallas graves en el funcionamiento.
  • Scaneo de Puertos
  • Sniffer
  • Troyanos.
  • Ataque de Fuerza Bruta sobre Claves.
  • Ingeniería Social.
  • Basureo o Trashing.
  • Ping.
  • Traceroute.
  • Spams.

 

 

Fuentes.

Publicadas por a la/s No hay comentarios.:

jueves, 12 de mayo de 2016

6 Auditoria en Sistemas

6.1. Concepto de la auditoría de sistemas. 

El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado. El ciclo de vida del desarrollo de sistemas:
Es el conjunto de actividades de los analistas, diseñadores y usuarios, que necesitan llevarse a cabo para desarrollar y poner en marcha un sistema de información consiste en las siguientes actividades:

  • Investigación preliminar.
  • Determinación de requerimientos
  • Desarrollo de sistema prototipo
  • Diseño de sistema.
  • Desarrollo de software.
  • Prueba de los sistemas.
  • Puesta en marcha

 

6.2. Desarrollo de sistemas. 

El desarrollo de sistemas es un proceso que consiste en dos etapas principales de análisis y diseño de sistemas; comienza cuando la gerencia, se da cuenta de cierto sistema del negocio necesita mejorarse

 

6.3. Instalación y puesta en servicio. 

 Comprendería todas las actividades para conseguir el funcionamiento adecuado del elemento en cuestión:

  • Planificación.
  • Documentación.
  • Parametrización.
  • Pruebas.

 

6.4. Mantenimiento y soporte. 

Comprendería el conjunto de acciones necesarias para la puesta al día del elemento, así como la asistencia de terceros para la consecución de dicha puesta al día y la asistencia a prestar a otros colectivos (desarrolladores, por ejemplo) para facilitar información necesaria sobre el sistema y sus herramientas para su mejor utilización.

 

6.5. Resolución de incidencias. 

Procedimiento para registrar, analizar, diagnosticar, calificar y seguir las incidencias que ´produzcan en relación con el elemento en cuestión con el objeto de su resolución.

  • Registrar.
  • Analizar.
  • Diagnosticar.
  • Calificar.
  • Resolución.

6.6. Seguridad y control. 

La protección debe de considerar tanto la posibilidad de hechos fortuitos como malintencionados: los primeros se evitarán partiendo de una formación adecuada y competencia profesional más la organización que establezca unos procedimientos robustos que incluyan elementos de control.
los hechos malintencionados se prevendrán mediante una política de personal y unos procedimientos que eviten concentración de tareas.
  • GESTIÓN DE INVERSIONES
Asegura la disposición y el control de los recursos por medio de los correspondientes presupuestos operativos períodicos establecidos y convenientemente aprobados
  • APRECIACIÓN DE RIESGOS
pretende el aseguramiento de la obtención de los objetivos de las ti, previniendo las amenazas en la obtención de los servicios de ti.
permite a la organización identificar los riesgos,analizar su impacto y tomar las medidas de coste efectivo para migrarlos.
  • IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADA
se trata de asegurar la mejor aproximación para satisfacer los requerimientos de los usuarios.
se han de tomar en consideración las restricciones internas y externas
  • DESARROLLO Y MANTENIMIENTO DE PROCEDIMIENTOS RELACIONADOS CON LOS S.I.
pretende asegurar el uso adecuado y de las soluciones tecnológicas instaladas, supone una aproximación estructurada, al desarrollo del usuario y a los manuales de procedimientos operativos,así como a requerimientos de servicio y material de entrenamiento.
  • CONTROL
Determinan el comportamiento del sistema y previenen situaciones no deseadas desde cualquier punto de vista.




Fuentes 
Publicadas por a la/s No hay comentarios.:

5 Auditoria en Bases de Datos


5.1 Concepto de la auditoría de la base de datos. 

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar: 
  • Quien accede a los datos
  • Cuando se accedioó a los datos
  • Desde queé tipo de dispositivo/aplicacióon
  • Desde que ubicacioón en la Red
  • Cual fue la sentencia SQL ejecutada 
  • Cual fue el efecto del acceso

5.2 Diseño y carga. 

En esta fase se llevarán a cabo los diseños lógico y físico de la base de datos, por lo que el auditor tendrá que examinar si estos diseños se han realizado correctamente: determinando si la definición de datos contemplan además de su estructura, las asociaciones y las restricciones oportunas, así como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad.
El auditor tendrá que tomar una muestra de ciertos elementos (tablas, vistas, índices) y comprobar que su definición es completa, que ha sido aprobada por el usuario y que el administrador de la base de datos participó en su establecimiento.
Es importante que la dirección del departamento de informática, los usuarios e incluso, en algunas ocasiones, la alta dirección, aprueben el diseño de los datos, al igual que el de las aplicaciones.
Una vez diseñada una BD se procederá a su carga, ya sea migrando datos de un soporte magnético o introduciéndolos manualmente.

5.3 Explotación y mantenimiento. 

Una vez realizadas las pruebas de aceptación, con la participación de los usuarios, el sistema se pondrá (mediante las correspondientes autorizaciones y siguiendo los procedimientos establecidos para ello) en explotación. En esta fase, se debe comprobar que se establecen los procedimientos de explotación y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas sólo se modifica mediante la autorización adecuada. Sería conveniente también que el auditor pudiera llevar a cabo una auditoría sobre el rendimiento del Sistema de BD, comprobando si se lleva a cabo un proceso de ajuste y optimización adecuados que no sólo consiste en el rediseño físico o lógico de la BD, sino que también abarca ciertos parámetros del SO e incluso la forma en que acceden las transacciones a la BD. Recordemos que la “función de administración de la base de datos debe ser la responsable de monitorizar el rendimiento y la integridad de los sistemas de BD”.

5.4 Revisión post-implantación. 

Aunque en bastantes organizaciones no se lleva a cabo, por falta de tiempo y recursos, se debería establecer el desarrollo de un plan para efectuar una revisión post­ implantación de todo sistema nuevo o modificado con el fin de evaluar si:

  • Se han conseguido los resultados esperados
  • Se satisfacen las necesidades de los usuarios
  • Los costos y beneficios coinciden con lo previsto

 

5.5 SGBD. 

  Entre sus componentes puede destacarse:
  • El nucleo (kernel).
  • El catalogo, componenete para asegurar la seguridad de la BD.
  • Las utilidades del administrador de la BD. entre las que se pueden crear usuarios, conceder privilegios y resolver otros asuntos relativos a la confidencialidad.
  •  Las que se encargan de la recuepracion de BD.
  • Rearranque,copiasde respaldo, archivos diarios.
  • Funciones de auditoria.
  • Lenguaje de carta generacion que incorpora el propio SGBD 




Fuentes.

Publicadas por a la/s No hay comentarios.:
Suscribirse a: Entradas (Atom)