CAPITULO N 03

METODOLOGAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORA INFORMTICA

3.1. INTRODUCCIN A LAS METODOLOGAS

Metodologa: Metodologa : Conjunto de mtodos que se siguen en una
investigacin cientfica o en una exposicin doctrinal. doctrinal. Las Metodologas usadas por un profesional dicen mucho de su forma de entender su trabajo y estn directamente relacionadas con su experiencia profesional acumulada como parte del comportamiento humano de acierto/error. acierto/error. La metodologa es necesaria para que un equipo de profesionales alcance un resultado homogneo tal como si lo hiciera una solo, por lo que resulta habitual el uso de metodologas en las empresas auditoras/consultoras auditoras/consultoras. .

3.1. INTRODUCCIN A LAS METODOLOGAS

Seguridad de los Sistemas de Informacin: Informacin: es la doctrina
que trata de los riesgos informticos o creados por la informtica. informtica . La informtica crea unos riesgos informticos de los que hay que proteger y preservar a la entidad con un entramado de contramedidas, y la calidad y la eficacia de las mismas mismas. . Para explicar este aspecto diremos que cualquier contramedida nace de la composicin de varios factores expresados en el siguiente grafico: grafico:

3.1. INTRODUCCIN A LAS METODOLOGAS

NORMAS ORGANIZACION METODOLOGA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL NORMATIVA, debe definir todo lo que debe existir y ser cumplido tanto desde el punto de vista conceptual, cmo prctico. ORGANIZACIN, es la que integran personas con funciones especficas y con actuaciones concretas; ste es el aspecto ms importante, dado que in l, nada es posible. METODOLOGAS, son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz.

3.1. INTRODUCCIN A LAS METODOLOGAS

NORMAS ORGANIZACION METODOLOGA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL OBJETIVOS DE CONTROL, son los objetivos a cumplir en el control de procesos , este es el segundo ms importante. PROCESAMIENTO, son los procedimientos operativos de las distintas reas de la empresa, la tendencia habitual de los informticos es la de dar ms peso a las herramientas que al control o contramedida, pero no debemos olvidar que: UNA HERRAMIENTA NUNCA ES UNA SOLUCION SINO UNA AYUDA PARA CONSEGUIR UN CONTROL MEJOR

3.1. INTRODUCCIN A LAS METODOLOGAS

NORMAS ORGANIZACION METODOLOGA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL TECNOLOGAS DE SEGURIDAD, es donde estn todos los elementos ya sean Hardware o software, que ayudan a controlar un riesgo informtico.

LAS HERRAMIENTAS DE CONTROL, son elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control

3.1. INTRODUCCIN A LAS METODOLOGAS

Plan de Seguridad Seguridad: : es una estrategia planificada de acciones y
productos que lleven a un sistemas de informacin y sus centros de proceso de una situacin inicial determinada a una situacin mejorada. mejorada. en el siguiente grafico se observar la tendencia actual en la organizacin de la seguridad de sistemas en la empresa. empresa.

Organizacin Interna de la Seguridad Informtica

Comit de Seguridad de la Informacin Seguridad corporativa Control Interno Dpto. de Informtica Dpto. de Usuarios Direccin del plan de seguridad Auditoria Informtica Plan Auditor

Control Informtico Responsable de Ficheros

3.2 Metodologas de Evaluacin de Sistemas

3.2.1 Conceptos Fundamentales
Anlisis de Riesgos Auditoria Informtica

3.2.1 Conceptos Fundamentales

Definiciones para profundizar las metodologas Amenaza Vulnerabilidad Riesgo Exposicin o Impacto

3.2.1 Conceptos Fundamentales

Todos los riesgos que se presentan podemos: Evitarlos Transferirlos Reducirlos Asumirlos

3.2.2 Tipos de Metodologas

3.2.2.1 Metodologas cuantitativas Basadas en un modelo matemtico numrico que ayuda a la realizacin de trabajo.

3.2.2.1 Metodologas Cualitativas/Subjetivas

Basadas en mtodos estadsticos y raciocinio humano. Precisan de la involucracin de un profesional experimentado. Pero requieren menos recursos humanos que las metodologas cuantitativas.
CUANTITATIVA P R O S C O N T R A S Enfoca pensamientos mediante el uso de nmeros. Facilita la comparacin de vulnerabilidades muy distintas . Proporciona una cifra justificante para cada copntramedida Estimacin de probabilidad depende de estadsticas fiables inexistentes. Estimacin de las perdidas potenciales solo si son valores cuantificables. Metodologas estndares. Difciles de mantener o modificar. Dependencia de un profesional. CUALITATIVA / SUBJETIVA Enfoca lo amplio que se desee. Plan de trabajo flexible y reactivo. Se concentra en la identificacin de eventos. Incluye lectores intangibles. Dependencia fuertemente de la habilidad y calidad del personal involucrado. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el checkcheck-list/gua). Identificacin de eventos reales ms claros al no tener que aplicarles probabilidades complejas de calcular. Dependencia de un profesional.

3.2.1 Metodologas ms comunes

3.2.3.1 Metodologas de Anlisis de Riesgos
Funcionamiento Esquemtico bsico de cualquier paquete
Cuestionario Identificar los riesgos Calcular el impacto Identificar las contramedidas y el coste Simulaciones Creacin de los informes Etapa 1

Etapa 2 Etapa 3 Etapa 4 Etapa 5 Etapa 6

3.2.1 Metodologas ms comunes

3.2.3.1 Metodologas de Anlisis de Riesgos
De forma genrica las metodologas existentes se diferencian en: Si son cuantitativas o cualitativas, o sea si para el Qu pasa s? utilizan un modelo matemtico o algun sistema cercano a la eleccin subjetiva. Y adems se diferencian en el propio sistema de simulacin.

Tipos de metodologas de anlisis de riesgo

se considera la frecuencia, esta basada en las diferentes bitcoras, logs y reportes de incidentes. El impacto se determina en forma cuantitativa (valores Econmicos). Lo ideal es poder expresar el impacto en trminos econmicos.

Metodologas cuantitativas :

Basadas en FIPS 65 Mtodo de IBM : basado en tcnica de DELPHI = consenso de expertos para determinar los costos. RISKCALC BDSS Metodologas cualitativas:

LAVA: Los Alamos Vulnerability/ Risk Assessment RISKPAC No se tiene en cuenta la frecuencia para valorar los riesgos. MARION La tabla muestra un claro ejemplo donde se emplea una matriz impacto/posibilidad de ocurrencia de una amenaza para CRAMM
Probabilidad de ocurrencia

determinar el nivel de riesgo que se tiene. "Aqu el riesgo indica las prdidas ante la posibilidad de presentarse la amenaza

A =riesgos que requieren pronta atencin, B =no es prioritario la toma de medidas

Tipos de metodologas de anlisis de riesgo

Marion-Francia Mtodo de evaluacin que ofrece dos productos: Marion AP+ Marion RSX Sistemas individuales Sistemas distribuidos

Mtodo cuantitativo basado en una encuesta anual al CLUSIF(base de Incidentes francesa) * No contempla probabilidades. * Contempla esperanzas matemticas (aprox. numricas)

Tipos de metodologas de anlisis de riesgo

Marion

Comprende seis etapas: 1. Identificar los incidentes e impactos sobre el SI. 2. Decidir la perdida mxima aceptable y por lo tanto los incidentes a cubrir. 3. Estimar la calidad de medidas de seguridad existentes (a partir de una lista cuestionario), identificando vulnerabilidades y contra-medidas a implementar. 4. Identificar los factores financieros que dificulten la implementacin de las contra-medidas. 5. Producir una lista priorizada de contra-medidas 6. Desarrollar un plan de accin. Presenta resultados en forma grfica, tabular y provee un gestionador del proyecto de seguridad.

Tipos de metodologas de anlisis de riesgo

Marion

Utiliza cuestionarios para valorar la seguridad (SI=4,NO=0,No_aplicable=3). Parmetros correlacionados (representan graf. Distintas soluciones de contramedidas) en cada uno de los factores(27 en 6 categoras) categora de factores 1. Seguridad informtica general 2. Factores socioeconmicos 3. Concienciacin sobre la seguridad de soft 4. Concienciacin sobre la seguridad de materiales. 5. Seguridad en explotacin. 6. Seguridad en desarrollo.

Tipos de metodologas de anlisis de riesgo

Marion Valores de ponderacin para diferentes sectores (ejemplos):
Sector 1 CATEGORA Establecimientos financieros bancos

Agricultura 2 Energa Construccin Metalrgica

Transporte Comercio Hospedaje

Tipos de metodologas de anlisis de riesgo

Marion

El anlisis de riesgo lo hace bajo 10 reas problemas: Riesgos materiales Sabotajes fsicos Averas Comunicaciones. Errores de desarrollo Errores de explotacin Fraude Robo de informacin Robo de software Problemas de personal.

Tipos de metodologas de anlisis de riesgo

Marion

Tipos de metodologas de anlisis de riesgo

Marion

Nota: - Las prdidas posibles no deben nunca sobrepasar el VALOR DE RIESGO MAXIMO ADMISIBLE

Valor dado por un estudio del banco de Francia para las distintas reas sectoriales

Tipos de metodologas de anlisis de riesgo

RISCKPAC

Metodologa aplicada en

Herramientas de software

Profile Analysis Corporation con DATAPRO(1994) enfoque cualitativa subjetiva resultados exportables a procesadores de texto BD. Hojas de clculo sistemas grficos

Tipos de metodologas de anlisis de riesgo

RISCKPAC Calcula para cada aplicacin un factor de riesgo: 1= nominal, ..., 5 = catastrofe.
Facilidades Del sistema

estructurada como cuestionario en 3 niveles

Entorno Procesador Aplicaciones

Hardware Amb. Fsico Comunicacin acceso

divididos en 26 categoras de Riesgo en cada nivel

Riesgos relacionados Integridad, fraude Lgica de control De acceso

Tipos de metodologas de anlisis de riesgo

CRAMM-Reino Unido Desarrollado en 1985-1987 por BIS y CCTA(Central Computer& Telecomunication Agency Risk Analisis & Management Method, England) Implantado en mas de 750 Org. En europa Metodologa cualitativa y permite hacer anlisis (que pasa si?) PRIMA (Prevencin de Riesgos Informticos con Metodologa Abierta) metodologa espaola(1990) enfoque subjetivo Caractersticas Cubrir necesidades de los proyectos de un plan de seguridad Adaptable Cuestionarios para identificar fallas de controles Proporciona un sistema de ayuda Informes finales Lista de ayuda y cuestionarios son abiertos

Tipos de metodologas de anlisis de riesgo

Toma de accin Identificacin de debilidades Amenazas Vulnerabilidades

Ponderacin

Anlisis del impacto Y riesgo

Definicin de contramedidas Prioridad Costo Dificultad duracin

valoracin de contramedidas

Preparacin del Plan de accin Riesgos Plan de accin Plan de proyectos

Informe final

Fases de la metodologa PRIMA

Plan de Contingencia

Contingencia: evento posible pero no muy probable. (antes) Plan de recuperacin ante desastre. (ahora) Plan de continuidad del negocio. Estadsticas: 90% de empresas victimas de un desastre dejan de existir despus de 18 meses. Casos ms tpicos: Fuego, Prdida de personal, cada de sistema crtico. Plan de contingencia: Anticipar problemas conflictivos y resolverlos. Identificar individuos claves. Aspectos geogrficos. Factor de Confianza.
Estrategia planificada formado por un conjunto de respaldos, Procedimientos de Emergencias para Recuperar la continuidad Del negocio

Plan de Contingencia
Fases I. Anlisis y Diseo Estudia la problemtica, alternativas de respaldo se analiza el costo/beneficio de las mismas Existen dos metodologas para desarrollar esta fase RISK ANALISIS (posibles riesgos)
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Identificar amenazas Anlisis de probabilidad de amenaza Seleccin de amenazas Entornos amenazados Servicios afectados Estimacin del impacto econmico/servicio afectado Servicios a cubrir Seleccin del mbito del plan Alternativa para los entornos Seleccin de alternativas Diseo de estrategias de respaldo Seleccin de estrategias de respaldo

BUSINESS IMPACT (impacto econmico)

1. 2. 3. 4. 5. 6. 7. 8.

Identificar servicios finales Anlisis del impacto (daos econmicos) Seleccin de servicios crticos Recursos de soporte Alternativas para entornos Seleccin de alternativas Diseo de estrategias de respaldo Seleccin de estrategias de respaldo

Plan de Contingencia
II. Desarrollo del Plan Desarrollo de la estrategia seleccionada Desarrollo de procedimientos de accin

III. Pruebas y Mantenimiento Se definen las pruebas, sus caractersticas y ciclos Se define la estrategia de mantenimiento

Herramientas Deben contener: BD relacional Mdulos de entrada Mdulos de consulta Procesador de textos * Generador de informes * ayuda,etc

Herramienta-Meycor Cobit

Herramienta-Meycor Cobit

Herramienta-Meycor Cobit

METODOLOGIAS DE AUDITORIA INFORMATICA

Auditoria Informatica. Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de informacin para sus dictamenes dictamenes. . Auditoria Financiera Financiera. .- Dictamen sobre los estados de cuentas que utiliza herramientas de Sw de ayuda ayuda. . Las metodologas de auditoria informatica son del tipo cualitativo/subjetivo; cualitativo/subjetivo ; estan basadas en profesionales de experiencia y formacin Existen dos metodologias de Auditoria Informtica: Informtica:

-Auditorias de Controles Generales y -Metodologas de Auditores Internos

METODOLOGIAS DE AUDITORIA INFORMATICA

Auditorias de Controles Generales
Dan una opinion sobre la habilidad de los datos del computador para la Auditoria cuyo resultado es un informe donde se destacan las financiera financiera vulnerabilidades encontradas. encontradas. Tiene apartados para definir pruebas y anotar sus resultados resultados. . Esta formada por recomendaciones de Plan de trabajo; trabajo; deber hacer cuestionarios y definir cuantas pruebas estime oportunas oportunas; ; adems debe crear sus metodologas necesarias para auditar reas o aspectos que defina en el plan auditor. auditor .

Auditorias Internas .-

EL PLAN AUDITOR INFORMATICO

Es el esquema mas importante del auditor informatico Las partes con las que cuenta un plan auditor informatico son:

- Funciones - Procedimientos para las distintas tareas de las auditorias - Tipos de auditoria - Sistema de evaluacin - Nivel de exposicin - Lista de distribucin de informes - Seguimiento de acciones correctorias - Plan quincenal - Plan de trabajo anual

AUDITORIA INTERNA Y EXTERNA

La auditori auditoria interna es la realizada con recursos materiales y
personas que pertenecen a la empresa auditada auditada, , sta expresa decisin de la empresa empresa. . existe por

Ventajas entajas de la auditoria interna Puede actuar peridicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. normal. Los auditados conocen estos planes y se habitan a las Auditori Auditorias, as, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo. trabajo. Por otro lado, la auditori auditoria externa es realizada por personas afines a la empresa auditada auditada; ; se presupone una mayor objetividad que en la Auditori Auditor ia Interna, debido al mayor distanciamiento entre auditores y auditados. auditados .

AUDITORIA INTERNA Y EXTERNA

Una Empresa o Institucin que posee auditor auditori ia interna puede y debe en ocasiones contratar servicios de auditor auditori ia externa. externa. Las razones para hacerlo suelen ser: ser: - Necesidad de auditar una materia de gran especializacin, para la cual los servicios propios no estn suficientemente capacitados. - Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestos de emisin interna de graves recomendaciones que chocan con la opinin generalizada de la propia empresa. - Es necesario que se le realicen auditoras externas como para tener una visin desde afuera de la empresa.

3.5 CONTROL INTERNO INFORMTICO. SUS MTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL
3.5.1 La funcin del control automtico independiente, debe ser independiente del departamento controlado - El rea informtica monta los procesos informticos seguros seguros. . - El control interno monta los controles. controles. -La auditoria informtica evala el grado de control LA AUDITORIA INFORMTICA -Tiene la funcin de vigilancia y evaluacin mediante dictmenes y todas sus metodologas van encaminadas a esta funcin funcin. . -Tiene sus propios objetivos distintos a los auditores de cuentas aunque necesarios para que stas puedan utilizar la informacin de sus sistemas para sus evaluaciones financieras y operativas. operativas . Evalan eficiencia, costo y seguridad en su ms amplia visin, esto es todo los riesgos informativos y ya sean los clsicos (confidencialidad, integridad y disponibilidad) o los costos y los jurdicos, dado que ya no hay una clara separacin en la mayora de los casos. casos. -Operan segn el plano auditor -Utilizan metodologas de evaluacin de tipo cualitativo. -Establecen planes quinquenales como ciclos completos -Sistemas de evaluacin de repeticin de la auditoria por nivel de exposicin del rea auditada y el resultado de la ltima auditoria de sta rea. -La funcin de soporte informtico de todos los auditores (opcionalmente), aunque dejando claro que no se debe pensar con esto que la auditoria informtica consiste en esto solamente.

CONTROL INTERNO INFORMTICO. SUS MTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL

CONTROL INFORMTICO - Tiene funciones propias (administracin de la seguridad lgica, etc) - Funciones de control dual con otros departamentos - Funciones normativas y del cumplimiento del marco jurdico. - Operan segn procedimientos de control en los que se ven involucrados y que luego desarrollarn. desarrollarn . - Al igual que en la auditoria y de forma opcional puede ser el soporte informtico de control interno no informtico FUNCIONES DE CONTROL INTERNO - Ms comunes - Definicin de propietarios y perfiles segn clasificacin de la informacin (utilizando metodologa) - Administracin delegada en control dual (dos personas intervienen en una accin) como medida de control de la seguridad lgica . - Responsable del desarrollo y actualizacin del plan de contingencias, manuales, procedimientos y plan de seguridad. seguridad. - Promueve el plan de seguridad informtico al comit de seguridad. - Dictar normas de seguridad informtica. - Definir los procedimientos de control. - Control del entorno. - Control de soporte magntico segn clasificacin de la informacin. - Control de soporte fsico (listado, etc)

CONTROL INTERNO INFORMTICO. SUS MTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL

FUNCIONES DE CONTROL INTERNO Control de informacin comprometida o sensible. Control de micro informtica y usuarios Control de calidad de software Control de calidad del servicio informtico Control de costes Responsable del departamento (gestin de recursos humanos y tcnicos) Control de licencias y relaciones contractuales con terceros. Control y manejo de claves de cifrado Relaciones externas con entidades relacionadas con la seguridad de la informacin. Definicin de requerimientos de seguridad de proyectos nuevos. Vigilancia del cumplimiento de las normas y controles. Control de cambios y versiones Control de paso de aplicaciones a explotaciones Control de medidas de seguridad fsica o corporativa en la informtica Responsable de datos personales (LOPD y cdigo penal) Otros controles que se designen Otras funciones que se designen.

CONTROL INTERNO INFORMTICO. SUS MTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL

El objetivo es de que exista una actuacin segura entre los usuarios, la informtica y control interno. interno . Todos ellos auditados por auditoria informtica El plan de Seguridad Informatica tiene 2 proyectos de vital importancia clasificacin de la informacin (B) y procedimientos de control (C)

Anlisis de riesgo

Contramedida 1 Objetivo de control Contramedida 2 Contramedida 3 Plan de acciones

Clasificacin de la B informacin tecnologa Objetivo de Control 1 C Objetivo de Control 2

3.5.2 METODOLOGAS DE CLASIFICACION DE LA INFORMACION Y DE OBTENCION DE LOS PROCEDIMIENTOS DE CONTROL

CLASIFICACION DE LA INFORMACION.INFORMACION.Metodologa PRIMA

SI IDENTIFICAMOS DISTINTOS NIVELES DE CONTRAMEDIDIAS PARA DISTINTSAS ENTIDADES DE INFORMACIN CON DISTINTOS NIVELES DE CRITICIDAD, ESTAREMOS OPTIMIZAMOS LA EFICIENCIA DE LAS CONTRAMEDIDAS Y REDUCIENDO LOS COSTOS DE LAS MISMAS. ENTIDAD DE INFORMACIN.INFORMACIN.- ES EL OBJETIVO A PROTEGER EN EL ENTORNO INFORMTICO Y QUE LA CLASIFICACIN DE LA INFORMACIN AYUDA A PROTEGER, ESPECIALIZANDO LAS CONTRAMEDIDAS SEGN EL NIVEL DE CONFIDENCIALIDAD O IMPORTANCIA QUE TENGAN. METODOLOGA DEL TIPO CUALITATIVO/SUBJETIVO CON JERARQUAS QUE SEGN SEAN PRESERVACIN: VITALVITAL-CRITICA VALUADA -NO SENSIBLE. O PROTECCIN: ALTAMENTE CONFIDENCIALCONFIDENCIAL-CONFIDENCIALCONFIDENCIAL-RESTRINGIDA -NO SENSIBLE. PRIMA DEFINE BASICAMENTE: - ESTRATEGICA (MUY CONFIDENCIAL, MUY RESTRINGIDA) - RESTRINGIDA (A LOS PROPIETARIOS DE LA INFORMACIN) - DE USO INTERNO (A TODOS LOS EMPLEADOS) - DE USO GENERAL (SIN RESTRICCIN)

LOS PASOS DE LA METODOLOGA SON LOS SIGUIENTES: 1. Identificacin de la informacin

2. 3. 4. 5. 6. 7. 8.

Inventario de entidades de informacin residentes y operativas Identificacin de propietarios Definicin de jerarquas de informacin Definicin de la matriz de clasificacin Confeccin de la matriz de clasificacin Realizacin del plan de acciones Implantacin y mantenimiento
OBTENCIN DE LOS PROCEDIMIENTOS DE CONTROL: METODOLOGA: METODOLOGA :

Fase 1.1.- Definicin de objetivos de control: Tarea 1: Anlisis de la empresa Tarea 2: Recopilacin de estndares Tarea 3: Definicin de los objetivos de control Fase 2.2.- Definicin de los controles: Tarea 1: Definicin de los controles Tarea 2: Definicin de necesidades tecnolgicas Tarea 3: Definicin de los procedimientos de control Tarea 4: Definicin de las necesidades de recursos humanos

Fase 3: Implantacin de los controles: - Procedimientos propios de control de la actividad informtica - Procedimiento de distintas reas usuarias de la informtica, mejorados - Procedimientos de reas informticas mejorados - Procedimiento de control dual entre control interno informtica y el rea informtica, los usuarios informticos y el rea de control no informtico.

3.5.3 LAS HERRAMIENTAS DE CONTROL

Las herramientas de control (software) ms comunes son: - Seguridad lgica del sistema - Seguridad lgica complementaria al sistema - Seguridad lgica para entornos distribuidos. Control de acceso fsico - Control de copias - Gestin de soportes magnticos - Gestin y control de impresin y envos de listados por red. - Control de proyectos - Control de versiones - Control y gestin de incidencias - Control de cambios - Etc.

OBJETIVOS DE CONTROL DE ACCESO LOGICO

Segregacin de funciones entre los usuarios del sistema s productores de software,

jefes de proyecto, tcnico de sistemas, operadores de explotacin, operadores de telecomunicaciones, grupo de usuarios de aplicaciones, administrador de la seguridad lgica, auditoria, y tantos como se designen designen. . Integridad de los LOG e imposibilidad de desactivarlos por ningn perfil para poder revisarlos . Gestin centralizada de la seguridad o al menos nica nica. . Contrasea nica para los distintos sistemas de la red y la autentificacin de entrada una sola vez. vez. Y una vez dentro, controlar los derechos de uso uso. . La contrasea y archivos con perfiles y derechos y la inaccesibles a todos, incluso a los administradores de seguridad seguridad. . El sistema debe rechazar a los usuarios que no usan la clave del sistema correctamente, inhabilitando y avisando a control que tomar las medidas oportunas. oportunas. Separacin de entornos El LOG o los LOGs de actividad no podrn desactivarse a voluntad, y si se duda de su integridad o carencia, resolver con un terminal externo controlado controlado. . El sistema debe obligar al usuario a cambiar la contrasea, de forma que slo la conozca l, que es la nica garanta de autenticidad de sus datos datos. . Es frecuente encontrar mecanismos de auto auto-LOGOUT, que expulsan del sistema la terminal que permanece inactiva ms de un tiempo determinado. determinado.

EST CONTROLADA LA SEGURIDAD LGICA EN LA ACTUALIDAD? SE CUMPLE EL MARCO JURDICO SIN SEGURIDAD LGICA? LGICA?; ; LA FORMA MS APROPIADA DE RESOLVER ESTE PROBLEMA ES UTILIZAR UN MTODO PRCTICO QUE DESARROLLAREMOS: DESARROLLAREMOS :

ANLISIS DE PLATAFORMA CATLOGO DE REQUERIMIENTO PREVIOS DE IMPLANTACIN ANLISIS DE APLICACIONES INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS (en este punto trataremos todo el esquema de funcionalidades de la seguridad lgica actual; actual; crear nuevas jerarquas de estndares a cumplir y tratar de definir los controles que se deberan tener, ya sea de usuario de las aplicaciones como de los usuarios de los sistemas y el uso de las herramientas) ADMINISTRACIN DE LA SEGURIDAD; nos interesa ver las siguientes funcionalidades u objetivos de control requeridos al nuevo sistema de control de acceso acceso: : - Permite el producto establecer un conjunto de reglas de control aplicables a todos los recursos del sistema? - Permite el producto al administrador de seguridad establecer un perfil de privilegios de acceso para un usuario o grupos de usuarios - Permite el producto al administrador de seguridad asignar diferentes administradores? - Permite el producto al administrador de seguridad asignar a estos administradores la responsabilidad de gestionar privilegios de acceso para grupos y recursos definidos? - Permite a un administrador pedir acceso para l mismo, tanto como para cualquier usuario de su rea de responsabilidad? - impide el producto que un administrador se provea l mismo de sus propias peticiones?

FACTORES GESTIN Y ADMINISTRACIN DE LA SEGURIDAD SINGLE SIGNSIGN-ON FUNCIONALIDADES DE LA RED SEGURIDADES SE PUEDEN CONSEGUIR LOS OBJETIVOS DE CONTROL? USUARIO USUARIO

RED

ADMINISTRACION ADMINISTRACION

SINGLE SIGN ON (que es necesario slo un password y un user ID para un usuario acceder y usar su informacin y sus recursos de todos los sistemas como si de un solo entorno se tratara) FACILIDADES DE USO Y REPORTING (se valora la interfase de usuario y la calidad de la misma) SEGURIDADES (se trata de ver aspectos de seguridad clsico del propio producto como que el administrador no vea los password de los usuarios, longitud del password mnimo, que el producto requiera un ID y password de longitud mnima para el acceso del propio producto etc. etc.) ADQUISICION, INSTALACION E IMPLANTACION , FORMACION DE MANUALES DE PROCESAMIENTO DE CONTROL

PORCENTAJE DE PARTICIPACIN
Apellidos y Nombres % 100 100 100 100 100

DIAZ ESTRADA, Diana Margarita FLORES JOSEPH, Hugo FLORES SALDAA, Len NAVARRO SOLSOL, Linda SALINAS MENDOZA, Evelina G.