Descargar la presentación
La descarga está en progreso. Por favor, espere
1
Auditoria Informática Unidad II
Seguridad de la Información Seguridad Física Seguridad Lógica
2
Auditoria Informática Unidad II
Seguridad de la Información La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.
3
Auditoría Informática Unidad II
Seguridad de la Información El propósito de la Seguridad Física es prevenir el acceso físico no autorizado, daños a las instalaciones e interrupciones al procesamiento de información.
4
Auditoría Informática Unidad II
Seguridad de la Información Perímetro de Seguridad Física Las instalaciones de procesamientode información deben estar protegidas contra interrupciones o daños producto del acceso no autorizado al área. Por lo tanto, es necesario mantener un perímetro de seguridad en torno a las instalaciones físicas que cumpla con tal objetivo. El nivel de seguridad de la información debe estar asociado al nivel de impacto que provocaría una interrupción en los procesos de la empresa, el daño a la integridad y la divulgación de la información reservada o confidencial.
5
Auditoría Informática Unidad II
Seguridad de la Información Controles Físicos Las áreas de procesamiento deben contar con controles de acceso que aseguren el ingreso solo a personal autorizado. Los siguientes controles deben ser considerados: Exigencia de portar la identificación al momento del ingreso y durante el periodo en que se encuentra en la instalación. Supervisión para los visitantes y personal que no cumple labores frecuentes. Registro con fecha y hora de entrada y salida de personal. Los derechos de acceso deben ser periódicamente revisados y actualizados.
6
Auditoría Informática Unidad II
Seguridad de la Información Controles Físicos (continuación…) Seguridad en las oficinas: Todos los lugares en que se declare trabajar con información sensible, deben contar con medidas que eviten el acceso del público y personal no autorizado. Las áreas comerciales deben contar con mecanismos de seguridad que impidan el acceso no autorizado a información sensible que manejen, sobre todo en horario de atención de público. Las máquinas de fax, fotocopiadoras y equipamiento que manejan información sensible, deben estar ubicado dentro del área protegida.
7
Auditoría Informática Unidad II
Seguridad de la Información Controles Físicos (continuación…) Áreas de recepción y despacho: Las áreas de recepción y despacho deben ser controlada y en la medida de lo posible, aisladas de áreas que manejen información sensible, para evitar el acceso no autorizado. Los requerimientos de seguridad de tales áreas deben estar determinados por una evaluación de riesgos.
8
Auditoria Informática Unidad II
Seguridad de la Información Seguridad Lógica Control de Acceso: su propósito es evitar el acceso no autorizado a la información digital e instalaciones de procesamiento de datos. Administración de usuarios; El nivel de acceso asignado debe ser consistente con el propósito del negocio. Todo usuario que acceda a los sistemas de información de la empresa, debe tener asignado un identificador único (user ID), que permita establecer responsabilidades individuales en el uso de los sistemas de información. Los permisos asignados a los usuarios deben estar adecuadamente registrados y protegidos.
9
Auditoría Informática Unidad II
Seguridad de la Información Seguridad Lógica Administración de usuarios (continuación) Cualquier cambio de posición o función de un rol, amerita evaluación de los permisos asignados, con el fin de realizar las modificaciones que correspondan en forma oportuna . Los sistemas de información de la organización, deben contar con mecanismos robustos de autenticación de usuarios, sobre todo de aquellos usuarios conectados desde redes externas. La creación, modificación y eliminación de claves debe ser controlada a través de un procedimiento formal.
10
Auditoria Informática Unidad II
Seguridad de la Información Seguridad Lógica Control de red La empresa debe contar con controles que protejan la información dispuesta en las redes de información y los servicios interconectados, evitando así accesos no autorizados (ejemplo; firewalls). Debe existir un adecuado nivel de segregación funcional que regule las actividades ejecutadas por los administradores de redes, operaciones y seguridad. Deben existir Logs de eventos que permita el monitoreo de incidentes de seguridad en redes.
11
Auditoria Informática Unidad II
Seguridad de la Información Seguridad Lógica Control de datos La empresa debe contar con controles que protejan la información dispuesta en las bases de datos de las aplicaciones, evitando así accesos no autorizados. Debe existir un adecuado nivel de segregación de funciones que regule las actividades ejecutadas por los administradores de datos. Se debe mantener un Log de actividades que registre las actividades de los administradores de datos. Los usuarios deben acceder a la información contenida en las bases de datos, únicamente a través de aplicaciones que cuentan con mecanismos de control que aseguren el acceso a la información autorizada (clave de acceso a la aplicación)
12
Auditoria Informática Unidad II
Seguridad de la Información Seguridad Lógica Encriptación El nivel de protección de información debe estar basado en un análisis de riesgo. Este análisis debe permitir identificar cuando es necesario encriptar la información, el tipo, calidad del algoritmo de encriptación y el largo de las claves criptográficas a ser usadas. Toda información clasificada como restringida y confidencial debe ser almacenada, procesada y transmitida en forma encriptada. Todas las claves criptográficas deben estar protegidas contra modificación, perdida y destrucción.
13
Auditoria Informática Unidad II
Seguridad de la Información Seguridad Lógica Administración de claves Las claves deben estar protegidas contra accesos y modificación no autorizada, perdida y destrucción. El equipamiento utilizado para generar y almacenar las claves debe estar físicamente protegido. La protección de las claves debe impedir su visualización, aun si se vulnera el acceso al medio que la contiene.
14
Auditoria Informática Unidad II
Seguridad de la Información Seguridad Lógica Uso de Passwords; Las passwords o claves de usuario son un elemento importante de seguridad, por lo tanto, todo empleado o tercera parte, debe utilizar una clave segura para el acceso a los sistemas de la organización. Esta clave segura tiene la condición de personal e intransferible. Se considera una clave débil o no segura cuando: La clave contiene menos de ocho caracteres. La clave es encontrada en un diccionario. La clave es una palabra de uso común tal como: nombre de un familiar, mascota, amigo, colega, etc. La clave es fecha de cumpleaños u otra información personal como direcciones y números telefónicos.
15
Auditoria Informática Unidad II
Seguridad de la Información Seguridad Lógica Se considera una clave segura cuando; La clave contiene may de ocho caracteres. La clave contiene caracteres en minúscula y mayúscula. La clave tiene dígitos de puntuación, letras y números intercalados. La clave no obedece a una palabra o lenguaje, dialecto o jerga Fácil de recordar.
16
Auditoria Informática Unidad II
Seguridad de la Información Seguridad Lógica Intercambio de Información; prevenir la perdida, modificación o acceso no autorizado y el mal uso de la información que la empresa intercambia como parte de sus procesos de negocio. Acuerdos de intercambio; en todos los casos de intercambio de información sensible, se deben tomar todos los resguardos que eviten su revelación no autorizada. Todo intercambio de información debe estar autorizada expresamente por el dueño de esta.
17
Auditoria Informática Unidad II
Seguridad de la Información Seguridad Lógica Intercambio de Información (continuación…). Seguridad de los medios removibles; El dueño de la información es quien autoriza a través de algún medio removible desde la organización. Los dispositivos que permiten a los computadores manejar medios removibles, deben ser habilitados cuando haya una razón de negocio para hacerlo y previa autorización del dueño de la información.
18
Auditoria Informática Unidad II
Seguridad de la Información Seguridad Lógica Seguridad en el comercio electrónico. La información involucrada en comercio electrónico y que pasa por redes publicas, debe estar protegida de actividades fraudulentas, disputas contractuales y revelaciones o modificaciones no autorizadas.
19
Auditoria Informática Unidad II
Seguridad de la Información Seguridad Lógica Seguridad en el correo electrónico. El correo electrónico es provisto por la empresa a los empleados y terceras partes, para facilitar el desempeño de sus funciones. La asignación de esta herramienta de trabajo debe hacerse considerando una evaluación de riesgo. El correo es personalizado, es decir no es aceptable la utilización del correo de otra persona, por tanto se asume responsable del envío al remitente (DE:) y no quien lo firma.
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.