Auditoria Informtica Unidad II

Seguridad de la Informacin
1.
2.

Seguridad Fsica
Seguridad Lgica

Auditoria Informtica Unidad II

Seguridad de la Informacin
1.

2.

La seguridad fsica se refiere a la proteccin del Hardware y de

los soportes de datos, as como a la de los edificios e
instalaciones que los albergan. Contempla las situaciones de
incendios, sabotajes, robos, catstrofes naturales, etc.
La seguridad lgica se refiere a la seguridad de uso del
software, a la proteccin de los datos, procesos y programas,
as como la del ordenado y autorizado acceso de los usuarios a
la informacin.

Auditora Informtica Unidad II

Seguridad de la Informacin
1.

El propsito de la Seguridad Fsica es prevenir el acceso fsico

no autorizado, daos a las instalaciones e interrupciones al
procesamiento de informacin.

Auditora Informtica Unidad II

Seguridad de la Informacin
Permetro de Seguridad Fsica

Las instalaciones de procesamientode informacin deben estar

protegidas contra interrupciones o daos producto del acceso no
autorizado al rea. Por lo tanto, es necesario mantener un permetro de
seguridad en torno a las instalaciones fsicas que cumpla con tal
objetivo.
El nivel de seguridad de la informacin debe estar asociado al nivel de
impacto que provocara una interrupcin en los procesos de la empresa,
el dao a la integridad y la divulgacin de la informacin reservada o
confidencial.

Auditora Informtica Unidad II

Seguridad de la Informacin
Controles Fsicos

Las reas de procesamiento deben contar con controles de

acceso que aseguren el ingreso solo a personal autorizado. Los
siguientes controles deben ser considerados:

Exigencia de portar la identificacin al momento del ingreso

y durante el periodo en que se encuentra en la instalacin.
Supervisin para los visitantes y personal que no cumple
labores frecuentes.
Registro con fecha y hora de entrada y salida de personal.
Los derechos de acceso deben ser peridicamente
revisados y actualizados.

Auditora Informtica Unidad II

Seguridad de la Informacin
Controles Fsicos (continuacin)

Seguridad en las oficinas:

Todos los lugares en que se declare trabajar con

informacin sensible, deben contar con medidas que eviten
el acceso del pblico y personal no autorizado.
Las reas comerciales deben contar con mecanismos de
seguridad que impidan el acceso no autorizado a
informacin sensible que manejen, sobre todo en horario
de atencin de pblico.
Las mquinas de fax, fotocopiadoras y equipamiento que
manejan informacin sensible, deben estar ubicado dentro
del rea protegida.

Auditora Informtica Unidad II

Seguridad de la Informacin
Controles Fsicos (continuacin)

reas de recepcin y despacho:

Las reas de recepcin y despacho deben ser controlada y en la

medida de lo posible, aisladas de reas que manejen informacin
sensible, para evitar el acceso no autorizado.

Los requerimientos de seguridad de tales reas deben estar

determinados por una evaluacin de riesgos.

Auditoria Informtica Unidad II

Seguridad de la Informacin
Seguridad Lgica

Control de Acceso: su propsito es evitar el acceso no autorizado a la

informacin digital e instalaciones de procesamiento de datos.

Administracin de usuarios;
1.
El nivel de acceso asignado debe ser consistente con el
propsito del negocio.
2.
Todo usuario que acceda a los sistemas de informacin de la
empresa, debe tener asignado un identificador nico (user ID),
que permita establecer responsabilidades individuales en el uso
de los sistemas de informacin.
3.
Los permisos asignados a los usuarios deben estar
adecuadamente registrados y protegidos.

Auditora Informtica Unidad II

Seguridad de la Informacin
Seguridad Lgica

Administracin de usuarios (continuacin)

4.
Cualquier cambio de posicin o funcin de un rol, amerita
evaluacin de los permisos asignados, con el fin de realizar las
modificaciones que correspondan en forma oportuna .
5.
Los sistemas de informacin de la organizacin, deben contar
con mecanismos robustos de autenticacin de usuarios, sobre
todo de aquellos usuarios conectados desde redes externas.
6.
La creacin, modificacin y eliminacin de claves debe ser
controlada a travs de un procedimiento formal.

Auditoria Informtica Unidad II

Seguridad de la Informacin
Seguridad Lgica

Control de red
1.
La empresa debe contar con controles que protejan la informacin
dispuesta en las redes de informacin y los servicios
interconectados, evitando as accesos no autorizados (ejemplo;
firewalls).
2.
Debe existir un adecuado nivel de segregacin funcional que
regule las actividades ejecutadas por los administradores de
redes, operaciones y seguridad.
3.
Deben existir Logs de eventos que permita el monitoreo de
incidentes de seguridad en redes.

Auditoria Informtica Unidad II

Seguridad de la Informacin
Seguridad Lgica

Control de datos
1.
La empresa debe contar con controles que protejan la
informacin dispuesta en las bases de datos de las aplicaciones,
evitando as accesos no autorizados.
2.
Debe existir un adecuado nivel de segregacin de funciones que
regule las actividades ejecutadas por los administradores de
datos.
3.
Se debe mantener un Log de actividades que registre las
actividades de los administradores de datos.
4.
Los usuarios deben acceder a la informacin contenida en las
bases de datos, nicamente a travs de aplicaciones que
cuentan con mecanismos de control que aseguren el acceso a la
informacin autorizada (clave de acceso a la aplicacin)

Auditoria Informtica Unidad II

Seguridad de la Informacin
Seguridad Lgica

Encriptacin
1.
El nivel de proteccin de informacin debe estar basado en un
anlisis de riesgo.
2.
Este anlisis debe permitir identificar cuando es necesario
encriptar la informacin, el tipo, calidad del algoritmo de
encriptacin y el largo de las claves criptogrficas a ser usadas.
3.
Toda informacin clasificada como restringida y confidencial debe
ser almacenada, procesada y transmitida en forma encriptada.
4.
Todas las claves criptogrficas deben estar protegidas contra
modificacin, perdida y destruccin.

Auditoria Informtica Unidad II

Seguridad de la Informacin
Seguridad Lgica

Administracin de claves
1.
Las claves deben estar protegidas contra accesos y modificacin
no autorizada, perdida y destruccin.
2.
El equipamiento utilizado para generar y almacenar las claves
debe estar fsicamente protegido.
3.
La proteccin de las claves debe impedir su visualizacin, aun si
se vulnera el acceso al medio que la contiene.

Auditoria Informtica Unidad II

Seguridad de la Informacin
Seguridad Lgica

Uso de Passwords; Las passwords o claves de usuario son un

elemento importante de seguridad, por lo tanto, todo empleado o
tercera parte, debe utilizar una clave segura para el acceso a los
sistemas de la organizacin. Esta clave segura tiene la condicin de
personal e intransferible.
Se considera una clave dbil o no segura cuando:
1.
La clave contiene menos de ocho caracteres.
2.
La clave es encontrada en un diccionario.
3.
La clave es una palabra de uso comn tal como: nombre de un
familiar, mascota, amigo, colega, etc.
4.
La clave es fecha de cumpleaos u otra informacin personal
como direcciones y nmeros telefnicos.

Auditoria Informtica Unidad II

Seguridad de la Informacin
Seguridad Lgica

Se considera una clave segura cuando;

1.
La clave contiene may de ocho caracteres.
2.
La clave contiene caracteres en minscula y mayscula.
3.
La clave tiene dgitos de puntuacin, letras y nmeros
intercalados.
4.
La clave no obedece a una palabra o lenguaje, dialecto o jerga
5.
Fcil de recordar.

Auditoria Informtica Unidad II

Seguridad de la Informacin
Seguridad Lgica

Intercambio de Informacin; prevenir la perdida,

modificacin o acceso no autorizado y el mal uso de la
informacin que la empresa intercambia como parte de sus
procesos de negocio.

Acuerdos de intercambio; en todos los casos de

intercambio de informacin sensible, se deben tomar todos
los resguardos que eviten su revelacin no autorizada.
Todo intercambio de informacin debe estar autorizada
expresamente por el dueo de esta.

Auditoria Informtica Unidad II

Seguridad de la Informacin
Seguridad Lgica

Intercambio de Informacin (continuacin).

Seguridad de los medios removibles;
El dueo de la informacin es quien autoriza a travs de algn
medio removible desde la organizacin.
Los dispositivos que permiten a los computadores manejar medios
removibles, deben ser habilitados cuando haya una razn de
negocio para hacerlo y previa autorizacin del dueo de la
informacin.

Auditoria Informtica Unidad II

Seguridad de la Informacin
Seguridad Lgica

Seguridad en el comercio electrnico.

La informacin involucrada en comercio electrnico y que pasa

por redes publicas, debe estar protegida de actividades
fraudulentas, disputas contractuales y revelaciones o
modificaciones no autorizadas.

Auditoria Informtica Unidad II

Seguridad de la Informacin
Seguridad Lgica

Seguridad en el correo electrnico.

El correo electrnico es provisto por la empresa a los

empleados y terceras partes, para facilitar el desempeo de
sus funciones.
La asignacin de esta herramienta de trabajo debe hacerse
considerando una evaluacin de riesgo.
El correo es personalizado, es decir no es aceptable la
utilizacin del correo de otra persona, por tanto se asume
responsable del envo al remitente (DE:) y no quien lo firma.