Repblica Bolivariana de Venezuela

Ministerio del Poder Popular para la Educacin

Instituto Universitario de Tecnologa de Administracin IUTA
Industrial Extensin Maracay

TRABAJO DE AUDITORIA
NIVELES DE SEGURIDAD PARA PRESERVAR EL CONTENIDO Y USO DE
LA INFORMACION

Integrantes: Indalecia Snchez

CI: 15.365.765
Nstor Chirinos
CI:19.554.855

Maracay, Diciembre del 2014

Introduccin

Hoy en da ya en el siglo XXI la informtica se a convertido en el bon en

nuestra sociedad ya que la informtica es una de las herramientas importantes
en una empresa u organizacin en donde la computadora guarda y recibe
informacin y es utilizada como herramienta de trabajo til para el hombre. Y
en una de sus ramas encontramos la auditoria que es el examen paraevaluar
cualquier error o irregularidadesque se presente en un sistema de informacin.
En donde el auditor informtico ha de velar por la correcta utilizacin de los
recursos que la empresa pone en juego para disponer de un eficiente y eficaz
sistema de informacin.

Contenido
Niveles de Seguridad para preservar el contenido y uso de la
informacin

1)
2)
3)
4)
5)

Tipos de Seguridad
Niveles de Seguridad
Ventajas y desventajas de los tipos de seguridad informtica
Evaluar los tipos de seguridad utilizados
Estrategias de seguridad informatica de acuerdo a los niveles
exigidos
6) Procedimientos para establecer los niveles de seguridad informtica
7) Cules son las diferentes controles de la auditoria informtica;
durante el desarrollo y operatividad de un sistema.

Desarrollo de Tema

1) Tipos de Seguridad
La seguridad informtica es el rea que se dedica a la proteccin de la
infraestructura del ordenador y todo lo relacionado con l.

La seguridad fsica y lgica y la seguridad activa y pasiva.

1.- La seguridad fsica y lgica
1-Seguridad fsica
Es aquella que trata de proteger el Hardware (cableado, equipo, torre,
etc. De cualquier tipo de accidente o desastre: desde robos (hurtos)
hasta desastres naturales como son terremotos.
La seguridad fsica puede verse sometida a: incendios, robos,
inundaciones, sobrecargas elctricas y un largo etc.
Recomendaciones:
Limpia muy de vez en cuando, tanto los lectores como la placa base y el
interior de la torre, usando los productos adecuados para ello
Procura no beber o verter lquidos cerca de los perifricos ni de la misma
placa base. Como componente electrnico que es, esto puede llegar a
inutilizar tu ordenador.
Cuidado con el voltaje soportado por la placa. Procura que el voltaje sea
el correcto revisando la fuente de alimentacin.
No manejes ni guardes datos de la BIOS a no ser que sepas manejarla
correctamente, podra resultar fatal.
Estudia bien los datos de tu ordenador antes de hacer overclocking (es
decir, realizar ajustes para forzar un poco la mquina. Ten cuidado con
esto, ya que si tocas lo que no debes puedes cargarte el ordenador.

2- Seguridad lgica
Protege el software de los equipos informticos, aplicaciones y datos
realmente importantes (como contraseas y datos personales) de robos,
perdida de datos y un largo etc.

Es por eso que se recomienda hacer lo siguiente:

Ten siempre a mano una copia de seguridad (o varias) de los datos ms
importantes de tu ordenador personal para poder disponer de ellos
aunque tu ordenador tenga algn problema.
Instala un buen antivirus y tengo actualizado. Aunque sea gratuito (hay
antivirus gratuitos realmente buenos, tales como Avira o AVG) funcionan
realmente bien.
No abras ningn archivo sospechoso o sin firma sin haber pasado un
buen rastreo de antivirus. Lo mejor es que consultes un foro
especializado (como foro spyware, por ejemplo) por si te has decantado
por alguno en particular.
Mucho cuidado y sutileza con el tema de la contrasea. Escribe una
contrasea fiable para ti pero que sea difcil de descifrar, sobretodo a
todos los archivos importantes, o que contengan datos que sean
realmente de utilidad. No se recomienda usar una contrasea para
varias cuentas diferentes.
Seguridad activa y pasiva
Seguridad Activa: Es el conjunto de medidas que previenen e intentan
evitar los daos a los sistemas informticos.
Ejemplos: uso de contraseas, listas de control de acceso, encriptacin,
cuotas de disco duro, firmas y certificados digitales, etc.
Seguridad Pasiva: Complementa a la seguridad activa y se encarga de
minimizar los daos en caso de que haya algn fallo o dao.
Ejemplos: conjuntos de discos redundantes, SAIs, copias de seguridad.

2) Niveles de Seguridad
El estndar de niveles de seguridad ms utilizado internacionalmente es
el TCSEC Orange Book(2), desarrollado en 1983 de acuerdo a las
normas de seguridad en computadoras del Departamento de Defensa de
los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema
Operativo y se enumeran desde el mnimo grado de seguridad al
mximo.
Estos niveles han sido la base de desarrollo de estndares europeos
(ITSEC/ITSEM) y luego internacionales (ISO/IEC).
Cabe aclarar que cada nivel requiere todos los niveles definidos
anteriormente: as el subnivel B2 abarca los subniveles B1, C2, C1 y el
D.

Nivel D :
Este nivel contiene slo una divisin y est reservada para sistemas que
han sido evaluados y no cumplen con ninguna especificacin de
seguridad.
Sin sistemas no confiables, no hay proteccin para el hardware, el
sistema operativo es inestable y no hay autentificacin con respecto a
los usuarios y sus derechos en el acceso a la informacin. Los sistemas
operativos que responden a este nivel son MS-DOS y System 7.0 de
Macintosh.
Nivel C1: Proteccin Discrecional
Se requiere identificacin de usuarios que permite el acceso a distinta
informacin. Cada usuario puede manejar su informacin privada y se
hace la distincin entre los usuarios y el administrador del sistema, quien
tiene control total de acceso.
Muchas de las tareas cotidianas de administracin del sistema slo
pueden ser realizadas por este "sper usuario" quien tiene gran
responsabilidad en la seguridad del mismo. Con la actual
descentralizacin de los sistemas de cmputos, no es raro que en una
organizacin encontremos dos o tres personas cumpliendo este rol. Esto
es un problema, pues no hay forma de distinguir entre los cambios que
hizo cada usuario.
A continuacin se enumeran los requerimientos mnimos que debe
cumplir la clase C1:
Acceso de control discrecional: distincin entre usuarios y recursos. Se
podrn definir grupos de usuarios (con los mismos privilegios) y grupos
de objetos (archivos, directorios, disco) sobre los cuales podrn actuar
usuarios o grupos de ellos.
Identificacin y Autentificacin: se requiere que un usuario se identifique
antes de comenzar a ejecutar acciones sobre el sistema. El dato de un
usuario no podr ser accedido por un usuario sin autorizacin o
identificacin.
Nivel C2: Proteccin de Acceso Controlado
Este subnivel fue diseado para solucionar las debilidades del C1.
Cuenta con caractersticas adicionales que crean un ambiente de
acceso controlado. Se debe llevar una auditoria de accesos e intentos
fallidos de acceso a objetos.
Tiene la capacidad de restringir an ms el que los usuarios ejecuten
ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar
datos a usuarios en concreto, con base no slo en los permisos, sino
tambin en los niveles de autorizacin.

Requiere que se audite el sistema. Esta auditora es utilizada para llevar

registros de todas las acciones relacionadas con la seguridad, como las
actividades efectuadas por el administrador del sistema y sus usuarios.
La auditora requiere de autenticacin adicional para estar seguros de
que la persona que ejecuta el comando es quien dice ser. Su mayor
desventaja reside en los recursos adicionales requeridos por el
procesador y el subsistema de discos.
Los usuarios de un sistema C2 tienen la autorizacin para realizar
algunas tareas de administracin del sistema sin necesidad de ser
administradores.
Permite llevar mejor cuenta de las tareas relacionadas con la
administracin del sistema, ya que es cada usuario quien ejecuta el
trabajo y no el administrador del sistema.
Nivel B1: Seguridad Etiquetada
Este subnivel, es el primero de los tres con que cuenta el nivel B.
Soporta seguridad multinivel, como la secreta y ultrasecreta. Se
establece que el dueo del archivo no puede modificar los permisos de
un objeto que est bajo control de acceso obligatorio.
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta,
con un nivel de seguridad jerrquico (alto secreto, secreto, reservado,
etc.) y con unas categoras (contabilidad, nminas, ventas, etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso
para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos
asociados.
Tambin se establecen controles para limitar la propagacin de derecho
de accesos a los distintos objetos.
Nivel B2: Proteccin Estructurada
Requiere que se etiquete cada objeto de nivel superior por ser padre de
un objeto inferior.
La Proteccin Estructurada es la primera que empieza a referirse al
problema de un objeto a un nivel ms elevado de seguridad en
comunicacin con otro objeto a un nivel inferior.
As, un disco rgido ser etiquetado por almacenar archivos que son
accedidos por distintos usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de
accesibilidad y seguridad son modificadas; y el administrador es el
encargado de fijar los canales de almacenamiento y ancho de banda a
utilizar por los dems usuarios.
Nivel B3: Dominios de Seguridad
Refuerza a los dominios con la instalacin de hardware: por ejemplo el
hardware de administracin de memoria se usa para proteger el dominio
de seguridad de acceso no autorizado a la modificacin de objetos de
diferentes dominios de seguridad.

Existe un monitor de referencia que recibe las peticiones de acceso de

cada usuario y las permite o las deniega segn las polticas de acceso
que se hayan definido.
Todas las estructuras de seguridad deben ser lo suficientemente
pequeas como para permitir anlisis y testeos ante posibles
violaciones.
Este nivel requiere que la terminal del usuario se conecte al sistema por
medio de una conexin segura.
Adems, cada usuario tiene asignado los lugares y objetos a los que
puede acceder.
Nivel A: Proteccin Verificada
Es el nivel ms elevado, incluye un proceso de diseo, control y
verificacin, mediante mtodos formales (matemticos) para asegurar
todos los procesos que realiza un usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los
niveles inferiores deben incluirse. El diseo requiere ser verificado de
forma matemtica y tambin se deben realizar anlisis de canales
encubiertos y de distribucin confiable. El software y el hardware son
protegidos para evitar infiltraciones ante traslados o movimientos del
equipamiento.

3) Ventajas y desventajas de los tipos de Seguridad informtica

Ventajas:
La seguridad informtica se encargada de aseguran la integridad de la
informacin y sus usuarios.
Crear buenas medidas de seguridad que eviten daos y problemas que
puedan ocasionar intrusos.
Capacita a la poblacin general sobre las nuevas tecnologas y las
amenazas que pueden tener.

Desventajas:
La seguridad absoluta no es posible y la seguridad informtica es un
conjunto de tcnicas encaminadas a obtener altos niveles de seguridad
en los sistemas informticos.

En los equipos ms desactualizados en antivirus realmente efectivo

puede ser muy pesado, puede hacerlos ms lenta y ocupa mucho
espacio en la memoria.

Como aplicar la seguridad informtica

Generalmente la seguridad informtica se concentra en garantizar el

derecho a acceder a datos y recursos del sistema configurando los
mecanismos de autentificacin y el control que aseguren que los
usuarios de estos recursos solo posean los derechos que se les han
otorgado.

4) Evaluar los tipos de seguridad utilizados

Tipos de Seguridad Informtica

Para entender los diversos tipos de Seguridad Informtica se tienen que
clasificar en varios apartados: seguridad fsica y lgica, seguridad activa
y
pasiva.
La seguridad fsica y lgica definida, segn el tipo de recurso a
proteger.
Seguridad fsica: Es aquella que trata de proteger el Hardware
(Cableado, equipo, torre) de cualquiera tipo de accidente o desastre:
desde robos hasta terremotos.
La seguridad fsica puede verse sometida a Incendios, robos,
inundaciones, sobrecargas elctricas y un largo, apagones, desastres
naturales y un largo etc. Por supuesto muchos de estos incidentes solo
valen tenerlo en cuenta en caso de que lleves la seguridad de una
empresa importantsima y tengas que cuidar de muchos ordenadores, y
esta gua es ms bien para un entorno ms familiar. As que he aqu
mis recomendaciones:
- Limpia muy de vez en cuando, tanto los lectores como la placa base y
el interior de la torre. Y usa los productos adecuados.
-Procura no beber o verter lquidos cerca de los perifricos ni de la
misma placa base, puede inutilizar tu ordenador, y a ti tambin.

- Cuidado con el voltaje soportado por la placa, el que le administras

segn qu fuente de alimentacin, etc.
- No manejes ni guardes datos de la BIOS a no ser que sepas manejarla
correctamente, podra resultar fatal.
- Estudia bien los datos de tu ordenador antes de hacer Overclocking.
Seguridad Lgica:
Protege el software de los equipos informticos, aplicaciones y datos
como contraseas y datos personales, de robos, perdida de datos y un
largo etc.
-Ten siempre a mano una copia de seguridad (O varias) de los datos
ms importantes de tu ordenador personal, para poder disponer de ellos
aunque tu ordenador falle.
- Ten actualizado siempre un buen antivirus, aunque sea gratuito. Hay
algunos antivirus que son poco conocidos, y si los descargas,
irnicamente, activan virus.

5) Estrategias de seguridad informtica de acuerdo a los niveles

exigidos.

Mecanismos de Seguridad
Un mecanismo de seguridad (tambin llamado herramienta de seguridad
o control) es una tcnica que se utiliza para implementar un servicio, es
decir, es aquel mecanismo que est diseado para detectar, prevenir o
recobrarse de un ataque de seguridad. Los mecanismos de seguridad
implementan varios servicios bsicos de seguridad o combinaciones de
estos servicios bsicos los servicios de seguridad especifican que
controles son requeridos y los mecanismos de seguridad especifican
cmo deben ser ejecutados los controles. Se dividen en aquellos que
se implementan en una capa especifica de un protocolo y aquellos que
no son especficos de ninguna capa del protocolo o servicio de
seguridad en particular estos mecanismos se tratan de selecciones
correspondientes de este libro y por ello no se elabora ahora excepto
para adelantar la definicin del cifrado x800 distingue entre los
mecanismos del cifrado es reversible y cifrado irreversible por otro lado
los mecanismos del cifrado irreversible incluyen algoritmos hast y

cdigos de autentificacin de mensajes que se emplean en firmas

digitales y en aplicaciones de autentificaciones de mensajes.

Sistemas de proteccin elctrica

Para el correcto funcionamiento de un sistema informtico es primordial
que la corriente elctrica sea adecuada. Por un lado es imposible
asegurar que no haya un fallo en la tensin elctrica y por otro la
corriente puede sufrir perturbaciones. Todo esto puede dar problemas
en el equipo , como perdida de informacin hasta fallos en el hardware,
dependiendo del problema que se haya producido en la red elctrica,
tambin podemos descartar, entre otros: El corte de suministro elctrico,
que es la prdida total de la tensin, Picos de tensin altos, llamados
tambin sobretensin, que se dan cuando el valor de la tensin es
superior al 110% del valor nominal, Picos de tensin bajos, llamados
tambin cadas de tensin, que se dan cuando el valor de la tensin es
inferior al 80% del valor nominal, Interferencias en la tensin, que se le
suele denominar tambin fluctuaciones de tensin o ruidos, Micro cortes,
que son cortes de corriente durante un tiempo muy pequeo.

6) Procedimientos para establecer los niveles de seguridad

informtica.

La seguridad informtica debe establecer normas que minimicen los

riesgos a la informacin o infraestructura informtica. Estas normas incluyen
horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones,
denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo
necesario que permita un buen nivel de seguridad informtica minimizando el
impacto en el desempeo de los trabajadores y de la organizacin en general y
como

principal

contribuyente

al

uso

de

programas

realizados

por

programadores.
La seguridad informtica est concebida para proteger los activos informticos,
entre los que se encuentran los siguientes:

La infraestructura computacional: Es una parte fundamental para el

almacenamiento y gestin de la informacin, as como para el
funcionamiento mismo de la organizacin. La funcin de la seguridad
informtica en esta rea es velar que los equipos funcionen
adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot,
desastres naturales, fallas en el suministro elctrico y cualquier otro factor
que atente contra la infraestructura informtica.

Los usuarios: Son las personas que utilizan la estructura tecnolgica, zona
de comunicaciones y que gestionan la informacin. Debe protegerse el
sistema en general para que el uso por parte de ellos no pueda poner en
entredicho la seguridad de la informacin y tampoco que la informacin que
manejan o almacenan sea vulnerable.

La informacin: es el principal activo. Utiliza y reside en la infraestructura

computacional y es utilizada por los usuarios

7) Cuales son los diferentes controles de la auditoria informtica durante

el desarrollo y operatividad de un sistema

Objetivo fundamental de la auditora informtica

Operatividad: La operatividad es una funcin de mnimos consistente
en que la organizacin y las maquinarias funciones refieren
mnimamente no es admisible detener la maquinaria informtica para
descubrir sus fallos y comenzar de nuevo. La auditora de iniciar su
actividad cuando los sistemas estn operativos, es el principal objetivo el
de mantener tal situacin. Tal objetivo debe conseguirse tanto a nivel
global como parcial.
La operatividad de los sistemas ha de constituir entonces la principal
preocupacin del auditor informtico. Para conseguirla hay que acudir a
la realizacin de controles tcnicos generales de operatividad y controles
tcnicos especficos de operatividad previos a cualquier actividad de
aquel.
-

Los controles Tcnicos generales son los que se realizan para

verificar la compactibilidad del funcionamiento simultneo del sistema

operativo y el software de base con todos los subsistemas existentes

as como la compactibilidad del hardware y del software instalado.
Estos controles son importantes en las instalaciones que cuentan con
varios competidores, debido a que la profusin de entornos de
trabajo muy diferenciados obliga a la contratacin de diversos
productos de software bsico. Desarrolladores por el personal
sistemas interno , sobre todo cuando los diversos equipos estn
ubicados en centros de proceso de datos tal vez sea operativo
trabajando independiente, pero no sea posible la interconexin e
intercomunicacin de todos los centros de proceso de datos si no
existen productos comunes y compatibles
-

Los controles Tcnicos especficos de modo menos acusado, son

igualmente necesarios para lograr la operatividad de los sistemas.
Un ejemplo de lo que se puede encontrar mal son parmetros de
asignacin automticos de espacio en disco, que dificulten o impiden
su utilizacin posterior por una seccin distinta de la que lo genero.
Tambin los periodos de retencin de ficheros comunes a varias
aplicaciones pueden estar definidos con distintos plazos en cada una
de ella, de modo que la perdida de informacin es un hecho que
podra producirse con facilidad quedando inoperativa la explotacin
de aluna de las aplicaciones mencionadas.

Parmetros de asignacin automtica de espacio en disco

Todas las aplicaciones que se desarrollan son sper-parametrizadas, es decir

que tienen un montnde parmetros que permiten configurar cual va ser el
comportamiento del sistema. Un sistema va a usar pone tal y tal cosa cierta
cantidad de espacio en disco. Si uno no analizo cual es la operativa y el tiempo
que le va a llevar ocupar el espacio asignado y se pone un valor muy chico
puede ocurrir que un da la aplicacin reviente recaiga. Si esto sucede en
medio de la operativa y la aplicacin se cae el volver a levantarla con la nueva
asignacin de espacio, si hay que hacer reconversiones o lo que sea puede
llegar a demandar muchsimo tiempo, lo que significa un riesgo enorme.

Revisin de Controles de la Gestin Informtica

Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la
auditora es la verificacin de la observancia de las normas tericamente
existentes en el departamento de informtica y su coherencia con las del resto
de la empresa. Para ello, habrn de revisarse sucesivamente y en este orden:

Las Normas Generales de la Instalacin Informtica. Se realizar una revisin

inicial sin estudiar a fondo las contradicciones que pudieran existir, pero
registrando las reas que carezcan de normativa, y sobre todo verificando que
esta normativa general informtica no est en contradiccin con alguna norma
general no informtica de la empresa.
Los Procedimientos Generales Informticos. Se verificar su existencia, al
menos en los sectores ms importantes.Por ejemplo, la recepcin definitiva de
las mquinas debera estar firmada por los responsables de Explotacin.
Tampoco el alta de una nueva aplicacin podra producirse si no existieran los
procedimientos de Backus y recuperacin correspondientes.
Los Procedimientos Especficos Informticos. Igualmente, se revisara su
existencia en las reas fundamentales. As, explotacin no debera explotar
una aplicacin sin haber exigido a desarrollo la pertinente documentacin. Del
mismo modo, deber comprobarse que los procedimientos especficos no se
opongan a los procedimientos generales. En todos los casos que se han visto a
su vez, deber verificarse que no existe contradiccin alguna con la normativa
y los procedimientos generales de la propia empresa, a los que la informtica
debe estar sometida.

CONCLUCION

La investigacin de seguridad informtica concluye que hay varios tipos de seguridad

como por ejemplo seguridad activa y pasiva que es nivel pasivo de seguridad se
refieres al conjunto de medidas implementadas en los sistemas la seguridad activa
filtra el acceso a ciertos servicios en determinados conexiones para bloquear el
intento de ataque desde algn de ello as entre varias lo que nos lleva a que cada vez
nos muestra que es ms compleja y con el tiempo se actualiza constantemente ,Ante
cualquier gran contingencia, como un terremoto, inundacin, incendio,
derrumbamiento de un edificio, las grandes empresas, como bancos, multinacionales,
organizaciones como los gobiernos, deben contar con soluciones como centros de
respaldos y tener todos las precauciones contra todo tipo de siniestros para evitar la
prdida de toda la informacin y de los sistemas informticos, ya que son importante y
tiles en nuestra actualidad.