Centro universitario UAEM Valle de Teotihuacn Lic.

En Informtica administrativa

Evaluacin de la seguridad
Elaborado por: Tania Cruz Cervantes y Diana Hernndez Granados

Objetivos de la seguridad del rea de informtica:

Proteger la integridad, exactitud y confidencialidad de la informacin. Proteger los activos ante desastres provocados por el hombre y de actos hostiles. Proteger a la organizacin contra situaciones externas como desastres naturales y sabotajes. En caso de desastre, contar con los planes y polticas de contingencias para lograr una pronta recuperacin. Contar con los seguros necesarios que cubran las prdidas econmicas en caso de desastre.

Seguridad lgica y confidencialidad

La seguridad lgica se encarga de los controles de acceso que estn diseados para salvaguardar la integridad de la informacin almacenada de una computadora, as como controlar el mal uso de la informacin.

 La seguridad lgica identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especfico, de las redes y terminales.

La falta de seguridad lgica o su violacin puede traer las siguientes consecuencias a la organizacin:
Cambio de los datos antes o cuando se le da entrada a la computadora. Copias de programas y /o informacin. Cdigo oculto en un programa Entrada de virus

 La seguridad lgica puede evitar una afectacin de perdida de registros, y ayuda a conocer el momento en que se produce un cambio o fraude en los sistemas. Los sistemas de seguridad normalmente no consideran la posibilidad de fraude cometida por los empleados en el desarrollo de sus funciones.

 Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Los paquetes de control de acceso protegen contra el acceso no autorizado. Sin embargo, los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computacin.

El sistema integral de seguridad debe comprender:

Elementos administrativos. Definicin de una poltica de seguridad. Organizacin y divisin de responsabilidades.

Seguridad lgica
Tipos de usuarios:
Propietario. Es el dueo de la informacin, el responsable de sta, y puede realizar cualquier funcin. Es responsable de la seguridad lgica.

Usuario principal. Est autorizado por el propietario para hacer modificaciones, cambios, lectura y utilizacin de los datos, pero no puede dar autorizacin para que otros usuarios entren.

Administrador. Slo puede actualizar o modificar el software con la debida autorizacin, pero no puede modificar la informacin. Es responsable de la seguridad lgica y de la integridad de los datos.

Tipos de usuarios:

Usuario de consulta: Slo puede leer la informacin pero no puede modificarla.

Usuario de explotacin. Puede leer la informacin y utilizarla para explotacin de la misma, principalmente para hacer reportes de diferente ndole.

Tipos de usuarios:
Usuario de auditora. Puede utilizar la informacin y rastrearla dentro del sistema para fines de auditoria.

Se recomienda que exista slo un usuario propietario, y que el administrador sea una persona designada por la gerencia de informtica

Puntos para conservar la integridad, confidencialidad y disponibilidad de los SI.

La integridad es la responsabilidad del usuario administrador y del usuario responsable y principal. La confidencialidad es responsabilidad del usuario de consulta y del usuario de explotacin. La disponibilidad es responsabilidad del usuario administrador.

El control implantado para minimizar estos riesgos debe considerar los siguientes factores:
El valor de los datos siendo procesados La probabilidad de que ocurra un acceso no autorizado. Las consecuencias para la organizacin si ocurre un acceso no autorizado. El riesgo y repercusiones en caso de que un usuario no autorizado utilice la informacin.

La seguridad lgica abarca las siguientes reas:

Rutas de acceso.
Software de control de acceso.

Claves de acceso.

Encriptamiento.

Rutas de acceso
Los tipos de restricciones de acceso son: Slo lectura Slo consulta Lectura y consulta Lectura escritura para crear, actualizar, borrar, ejecutar o copiar

Claves de acceso
Existen diferentes mtodos de identificacin para el usuario: Un password o cdigo. Una credencial con banda magntica. Algo especfico del usuario (caractersticas propias).

Las llaves de acceso deben tener las siguientes caractersticas:

El sistema debe verificar primero que el usuario tenga una llave de acceso vlida. La llave de acceso debe ser de una longitud adecuada para ser un secreto. La llave de acceso no debe ser desplegada cuando es tecleada. Las llaves de acceso deben ser encriptadas. Las llaves de acceso deben de prohibir el uso de nombres, palabras o caracteres difciles de retener, adems el password no debe ser cambiado por un valor pasado. Se recomienda la combinacin de caracteres alfabticos y numricos.

Credencial con banda magntica

La banda magntica de las credenciales es frecuentemente usada para la entrada al sistema.

Validacin por caractersticas.

Algunos de los dispositivos biomtricos son: Las huellas dactilares. La retina La geometra de la mano. La firma. La voz.

Software de control de acceso

Controla el acceso a la informacin, grabando e investigando los eventos realizados y el acceso a los recursos, por medio de la identificacin del usuario. Tiene las siguientes funciones: Definicin de usuarios. Definicin de las funciones del usuario despus de accesar el sistema. Establecimiento de auditora a travs del uso del sistema.

La mayor ventaja del software de seguridad es la capacidad para proteger los recursos de acceso no autorizados, incluyendo los siguientes:

Procesos en espera de modificacin por un programa de aplicacin. Accesos por editores en lnea. Accesos por utileras de software. Accesos a archivos de las bases de datos, a travs de un manejador de base de datos. Acceso de terminales o estaciones no autorizadas.

Paquetes de seguridad
Estos paquetes pueden restringir el acceso a los recursos, reduciendo as el riesgo de accesos no autorizados. Otra caracterstica de estos paquetes es que se pueden detectar las violaciones de seguridad, tomando las siguientes medidas: Terminaciones de procesos. Forzar a las terminales a apagarse. Desplegar mensajes de error. Escribir los registros para la auditora.

OTROS TIPOS DE SOFTWARE DE CONTROL DE ACCESO

Sistemas operativos Software manejador de base de datos Software de consola o terminales maestras Software de libreras Software de utileras Telecomunicaciones

Sistemas operativos:
se trata de una serie de programas, los cuales manejan los recursos de la computadora y sirven como interface entre el software de aplicacin y el hardware.

Tareas de un S.O.
Proporcionan Seguridad
Dentro de los S.O

Controlan
La ejecucin de los programas de aplicacin.

Manejan
Proveen servicios que requieren. Usuarios y del sistema que se est trabajando.

Dependiendo

Job Schedule. Manejador de equipos perifricos. Contador de trabajo. Compilador de programas. Pruebas. Debugs.
Debe incluir

Software manejador de base de datos:

Es un software cuya finalidad es la de controlar, organizar y manipular los datos. Provee mltiples caminos para accesar los datos en base de datos. Maneja la integridad de datos entre operaciones, funciones y tareas de la organizacin.

Software de consolas o terminales maestras

Son varios programas del sistema operativo que proveen soporte y servicio para que las terminales en lnea accesen a los programas en aplicacin. Las consolas incluyen funciones de seguridad para restringir el acceso a los datos, va programas en aplicacin.

Software de libreras
Consta de datos y programas especficos escritos para ejecutar una funcin en la organizacin. Los controles de los cambios de emergencia deben estar en algn lugar debido a la naturaleza de estos cambios: o Acceso de emergencia. o Todas las acciones realizadas durante la emergencia debern ser automticamente registradas.

 Cuando se instala el software de libreras se define las libreras y sus respectivos niveles de proteccin. Los tipos de acceso a libreras pueden ser restringidos durante las instalaciones.

Software de utileras
Existen dos tipos de software de utileras. Es usado en los sistemas de desarrollo para proveer productividad Es usado para asistir en el manejo de operaciones de la computadora.

Ejemplos de utileras de software:

Utileras de monitores. Sistemas manejadores de disco. Calendarios de jobs. Editores de lnea. Debugers. Scanner de virus. Software de telecomunicaciones.

RIESGOS Y CONTROLES A AUDITAR

Control del software de seguridad general: El control de acceso a programas y a la informacin. Vigilar los cambios realizados. Las bitcoras de auditora. Control de acceso a programas y datos. Cambios realizados. Bitcoras de auditora.

Controles de software especifico:

El acceso al sistema debe ser restringido. Se debe controlar el acceso a los procesos y a las aplicaciones. Las tablas de acceso o descripciones debern ser restringidas. Se deber contar con procedimientos. Limitacin de acceso de datos. Restriccin de acceso a secciones o tabla de seguridad. Las bitcoras de auditora debern ser protegidas de modificaciones no autorizadas.

Sistemas operativos:
Los password. El acceso a software. Administradores de seguridad. Acceso a utileras. Uso de todas las funciones del software. Revisin de bitcoras.

Software manejador de base de datos:

Acceso a los archivos de datos. Control del acceso al diccionario de datos. Reporte de acceso a diccionario de datos. Las modificaciones de capacidades desde el DBMS para las B.D.

Software de consolas o terminales maestras:

Los cambios realizados al software de consolas o terminales maestras debern ser protegidos y controlados.

Software de libreras:
Bitcora de auditora de todas las actividades realizadas. Comparacin de dos versiones de programas en cdigo fuente. Negar el acceso a password o cdigo de autorizacin. Tendrn que ser protegidos y controlados. Versiones correctas de los programas.

Software de utileras:
Restriccin de archivos de utileras. Establece niveles de utilizacin por cada funcin. Genera una bitcora de auditora de usos y actividades. Tomar precauciones para asegurar la manipulacin de datos. Asegurar que nicamente personal autorizado tenga acceso a correr aplicaciones. No deben ser mantenidas en el en el ambiente de produccin. Las bitcoras de auditora deben ser cuidadosamente revisadas.

Software de telecomunicaciones:
Controlar el acceso a datos. Los comandos del operador solo pueden ser usados por usuarios autorizados. Monitorear y proteger el acceso diario al sistema. Asegurar que los datos no sean accesados o modificados por un usuario no autorizado.

Consideraciones al auditar:
Control de acceso a programas y a la informacin. Control de cambios. Bitcoras de auditora.

 Entre las consideraciones especficas al auditar estn: Software de control de acceso Software de telecomunicaciones. Software manejador de libreras Software manejador de base de datos. Software de utileras. Software de sistemas operativos.

Ciclo de vida
Instalacin
Integridad Confidencialidad

Debe ser evaluada

Mantenimiento

Asegura Aprovechamiento de los datos

Operacin

Recursos del sistema

Instalacin y mantenimiento:
Procedimientos para nuevas pruebas o modificaciones al software. Procedimientos para iniciacin. Procedimientos para la generacin y modificacin al software. Procedimientos usados para ejecutar software. Procedimientos para dar solucin a un problema especfico de software. Modificaciones del diccionario de datos. Bitcoras a los parmetros del software. Acceso a libreras de programas.

Operacin:
Controles de acceso. Procedimiento de seguridad. Disponibilidad y control de acceso a los comandos que pueden ser usados para desactivar el software. reas de disponibilidad para el control del software, operacin y consistencia de capacidad de acceso. Horas durante las cuales el software esta disponibles. Control de acceso sobre consola y terminales maestras. Operaciones automatizadas o dependencia del calendario de actividades.

Software de control de acceso:

Diseo de administracin. Procedimientos de identificacin del usuario. Procedimientos de autentificacin del usuario. Recursos para controlar el acceso. Reportes y vigilancias del software de control de acceso reportando y vigilando.

Sistemas operativos:
Las facilidades del sistema operativo. Programas y funciones. Controles de acceso sobre consolas o terminales maestras y privilegios asociados. Bitcoras de auditora. Uso del control de acceso sobre los default de inicio de ID de usuarios y passwword. Comandos de software o funciones que son consideradas importantes. Diagnostico de utileras del sistema operativo.

Software del sistema manejador de base de datos:

Procedimientos usados por el software de control de acceso. El diseo de una restriccin de acceso en los archivos por niveles. Seguridad de campos. Procedimientos de autenticacin. Comandos y funciones del diccionario de datos. Acceso a los programadores. Bitcoras de auditora. El software de desarrollo que afecta a la seguridad del DBMS.

Software del manejo de libreras:

Documentacin de libreras. Programas fuentes y ejecutables. Jobs en ejecucin y lineamientos de control. Parmetro de corrida. Uso de software para restringir el acceso a libreras. Restriccin del acceso a libreras de produccin. Restricciones de funciones que pueden ser usadas para modificar el estado de un programa. Acceso a libreras en prueba. Convenciones para dar nombre a libreras que son usadas para facilitar la seguridad. Mtodos para clasificar y restringir el acceso a libreras por tipo. Procedimientos inusuales de las libreras. Capacidades de las bitcoras de auditora. Los nmeros de versin del software.

Software de utileras:
Comandos o funciones de utileras. Los controles de acceso sobre comandos o funciones de utileras. Seguridad de acceso a los programadores para la utilizacin de funciones o comandos de utileras. Si el software ejecuta las funciones de identificacin del usuario y procedimientos de autentificacin. Capacidades de uso de utileras para cada grupo de usuarios. Bitcoras de usuario.

Software de telecomunicaciones:
Restricciones al acceso de la red basada en tiempo. Apagado automtico de terminales inactivas en un tiempo especifico. Facilidad de acceso no autorizado. Nmeros de seguridad de entrada. Horas durante las cuales la lnea est disponible. Recursos y funciones posibles a travs del acceso de entrada. Uso de identificacin de la terminal fsicamente. Controles de acceso sobre los recursos de la red. Controles de acceso sobre las tablas de configuracin de red. Controles de acceso a funciones de la red. Procedimientos para la proteccin de comunicaciones. Uso de encriptacin de datos.