Seguridad y Auditoria de Sistemas Ciclo 2009-1 SEGURIDAD LÓGICA Seguridad y Auditoria de Sistemas Ciclo 2009-1 Ing. Yolfer Hernández, CIA
Temario – Seguridad Lógica Definición Rutas y Exposiciones de Acceso Lógico. Controles de acceso lógico.
Seguridad Lógica “Aplicación de procedimientos y barreras que resguarden la seguridad de uso del software, protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información." “Todo lo que no está permitido debe estar prohibido."
Rutas de acceso Lógico Consola de Operación Terminales On-Line Procesamiento diferido Acceso por teléfono conmutado Redes de Telecomunicaciones Acceso por Internet
Exposiciones de acceso Lógico Objetivos Resultados Desafío Corrupción de Información Ganancia política Revelación de Información Ganancia Acceso a servicios no Financiera autorizados Daños Denegación de Servicios
Exposiciones de acceso Lógico Perpetradores: Empleados actuales y antiguos Visitantes educados o interesados. Personal contratado a tiempo parcial. Hackers / Crackers (vándalos). Chantaje Crimen Organizado Espionaje industrial
Exposiciones de acceso Lógico Como se efectúa: Fraude Caballos de Troya <troyan horses> Ingeniería social Sabotaje Bombas lógicas <logic bombs> Virus informáticos / Gusanos Acceso no autorizado Puertas falsas <trap doors> Llave maestra <superzapping> Robo de servicios Informaciones residuales <scavenging, Trashing > Suplantación de personalidad <impersonation> Espionaje informático Espionaje, robo o hurto de software Fuga de Datos <data leakage>
Exposiciones de acceso Lógico Impactos: Inhabilitación de Servicios Perdida financiera. Repercusión Legal Perdida de credibilidad o competitividad. Divulgación de Información sensible, confidencial o comprometedores
Seguridad Lógica - Objetivos Restringir acceso a los programas, información, procesos e instalaciones. Asegurar principio de segregación de funciones: Los circuitos operativos críticos no deben ser manejados por una sola persona o departamento (programas, datos, procesos), para reducir riesgo de errores o irregularidades (fraude interno). Toda transacción debe ser realizada en cuatro etapas: registro, aprobación, autorización y ejecución . Asegurar uso de procedimientos correctos Trabajar con supervisión minuciosa y adecuado uso de los datos, archivos y programas. Asegurar procedimientos de Transmisión de datos La información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. La información recibida sea la misma que ha sido transmitida. Asegurar procedimientos de contingencia Existencia de sistemas alternativos secundarios, tanto de procesamiento como transmisión.
Acceso Lógico - Controles Identificación y Autentificación Definir roles y responsabilidades Administración de perfiles y usuarios Transacciones o accesos autorizados Limitaciones a los Servicios Modalidad de Acceso Ubicación y Horario Controles de Acceso Interno y Externo
Acceso Lógico – Donde aplicar Datos, Logs, Archivos temporales, Backups Directorios y diccionarios de datos Librerías de archivos y de contraseñas Software de aplicación: Pruebas y Producción. Software del sistema y utilitarios Software de Seguridad Líneas de Telecomunicaciones y Red Perimetral. Librerías de procedimientos