Auditoria Informática Unidad II

Slides:



Advertisements
Presentaciones similares
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL JOSÉ MANUEL MORIANO DE LAS HERAS SECRETARIO JUNTA DE GOBIERNO COLEGIO OFICIAL DE PODÓLOGOS DEL PAÍS VASCO EUSKADIKO.
Advertisements

CONTENIDOS 2. Objetivos de la seguridad informática
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Seguridad Definición de seguridad informática. Terminología.
SEGURIDAD EN REDES DE DATOS
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
Auditoria de Sistemas de Gestión
ÁREAS SEGURAS Perímetro de Seguridad Control de Accesos

Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Análisis y gestión de riesgos en un Sistema Informático
Seguridad y Auditoria de Sistemas Ciclo
CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS
Guía para la evaluación de seguridad en un sistema
La auditoría de los sistemas de información abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos.
Enrique Cardenas Parga
12.4 Seguridad de los archivos del sistema
Tecnología de la Comunicación I
Introducción a la Seguridad de la información
Johanna Lizeth Rodríguez Lorena Fda. Chávarro Ramos
Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.
AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.
AUDITORIA DE LA SEGURIDAD EN SISTEMAS DE SOFTWARE
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Políticas de Seguridad por Julio César Moreno Duque
AUDITORÍA DE SISTEMAS UNIDAD 2.
ConceptoDefiniciónCaracterísticas (palabra clave) Ejemplo/Aplicación Sistema operativo Un sistema operativo es un software, es decir, forma parte de la.
PROTECCIÓN DEL ORDENADOR
Auditoria de la seguridad de los datos y del software de aplicación Unidad IV.
Auditoría de Sistemas y Software
Gerardo Bolaños Pérez David Olguín Orozco José Carlos Magallon Salazar
AREA DE SEGURIDAD DE LA INFORMACION
Fases de la Auditoria Informática
“Adopción de SGSI en el Sector Gobierno del PERÚ”
SEGURIDAD DE REDES ALEJANDRO ZAMBRANO CEDENO. La seguridad informática consiste en asegurar los recursos del sistema de información (material informático.
SEGURIDAD INFORMÁTICA
LA SEGURIDAD LÓGICA EN LA INFORMÁTICA.
Análisis y Gestión de Riesgos
Seguridad Informática
Seguridad de la Información
Seguridad en el E-commerce
UNIVERSIDAD AUTóNOMA BENITO JUAREZ DE OAXaCA
EVALUACION DE NIVELES DE SEGURIDAD DEL CENTRO DE CÓMPUTO
Unidad 5 EL CENTRO DE PROCESAMIENTO DE DATOS Y LA SEGURIDAD EN LA AUDITORÍA INFORMÁTICA.
Organización del Departamento de Auditoria Informática
SEGURIDAD INFORMÀTICA Presentado por: YAMILETH ORTÌZ
Análisis y Gestión de Riesgos en un Sistema Informático.
Amenazas. Tipos Gabriel Montañés León.
 La seguridad es la característica de un sistema que está libre de todo peligro. Al se difícil de conseguir hablamos de sistemas fiables en vez de sistemas.
UNIVERSIDAD LATINA BASES DE DATOS ADMINISTRACIÓN.
IV. SEGURIDAD INFORMÁTICA:
Protección de los Sistemas de Información Sistemas de Información.
REDES 439.  Sugerencias:  HORARIO DE SERVICIO claramente establecido  Todo usuario debe estar registrado.  Los recursos de cómputo empleados por el.
Auditoría en Informática
Importancia de La Seguridad
Medidas de seguridad Gabriel Montañés León.
Análisis y Gestión de Riesgos en un Sistema Informático
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
SEGURIDAD DE LOS RECURSOS HUMANO.  RECURSOS HUMANOS: son el conjunto de colaboradores de una organización. Frecuentemente se llama así a la función que.
Seguridad en la banca electrónica. Contenido Banca electrónica Principales riesgos Cuidados a tener en cuenta Fuentes.
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
SEGURIDAD DE LA INFORMACION Políticas de seguridad.
APLICACIONES EN LINEA.
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
Ingeniería del Software
Presentación de la Norma Técnica de Seguridad de la Información.
Transcripción de la presentación:

Auditoria Informática Unidad II Seguridad de la Información Seguridad Física Seguridad Lógica

Auditoria Informática Unidad II Seguridad de la Información La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.

Auditoría Informática Unidad II Seguridad de la Información El propósito de la Seguridad Física es prevenir el acceso físico no autorizado, daños a las instalaciones e interrupciones al procesamiento de información.

Auditoría Informática Unidad II Seguridad de la Información Perímetro de Seguridad Física Las instalaciones de procesamientode información deben estar protegidas contra interrupciones o daños producto del acceso no autorizado al área. Por lo tanto, es necesario mantener un perímetro de seguridad en torno a las instalaciones físicas que cumpla con tal objetivo. El nivel de seguridad de la información debe estar asociado al nivel de impacto que provocaría una interrupción en los procesos de la empresa, el daño a la integridad y la divulgación de la información reservada o confidencial.

Auditoría Informática Unidad II Seguridad de la Información Controles Físicos Las áreas de procesamiento deben contar con controles de acceso que aseguren el ingreso solo a personal autorizado. Los siguientes controles deben ser considerados: Exigencia de portar la identificación al momento del ingreso y durante el periodo en que se encuentra en la instalación. Supervisión para los visitantes y personal que no cumple labores frecuentes. Registro con fecha y hora de entrada y salida de personal. Los derechos de acceso deben ser periódicamente revisados y actualizados.

Auditoría Informática Unidad II Seguridad de la Información Controles Físicos (continuación…) Seguridad en las oficinas: Todos los lugares en que se declare trabajar con información sensible, deben contar con medidas que eviten el acceso del público y personal no autorizado. Las áreas comerciales deben contar con mecanismos de seguridad que impidan el acceso no autorizado a información sensible que manejen, sobre todo en horario de atención de público. Las máquinas de fax, fotocopiadoras y equipamiento que manejan información sensible, deben estar ubicado dentro del área protegida.

Auditoría Informática Unidad II Seguridad de la Información Controles Físicos (continuación…) Áreas de recepción y despacho: Las áreas de recepción y despacho deben ser controlada y en la medida de lo posible, aisladas de áreas que manejen información sensible, para evitar el acceso no autorizado. Los requerimientos de seguridad de tales áreas deben estar determinados por una evaluación de riesgos.

Auditoria Informática Unidad II Seguridad de la Información Seguridad Lógica Control de Acceso: su propósito es evitar el acceso no autorizado a la información digital e instalaciones de procesamiento de datos. Administración de usuarios; El nivel de acceso asignado debe ser consistente con el propósito del negocio. Todo usuario que acceda a los sistemas de información de la empresa, debe tener asignado un identificador único (user ID), que permita establecer responsabilidades individuales en el uso de los sistemas de información. Los permisos asignados a los usuarios deben estar adecuadamente registrados y protegidos.

Auditoría Informática Unidad II Seguridad de la Información Seguridad Lógica Administración de usuarios (continuación) Cualquier cambio de posición o función de un rol, amerita evaluación de los permisos asignados, con el fin de realizar las modificaciones que correspondan en forma oportuna . Los sistemas de información de la organización, deben contar con mecanismos robustos de autenticación de usuarios, sobre todo de aquellos usuarios conectados desde redes externas. La creación, modificación y eliminación de claves debe ser controlada a través de un procedimiento formal.

Auditoria Informática Unidad II Seguridad de la Información Seguridad Lógica Control de red La empresa debe contar con controles que protejan la información dispuesta en las redes de información y los servicios interconectados, evitando así accesos no autorizados (ejemplo; firewalls). Debe existir un adecuado nivel de segregación funcional que regule las actividades ejecutadas por los administradores de redes, operaciones y seguridad. Deben existir Logs de eventos que permita el monitoreo de incidentes de seguridad en redes.

Auditoria Informática Unidad II Seguridad de la Información Seguridad Lógica Control de datos La empresa debe contar con controles que protejan la información dispuesta en las bases de datos de las aplicaciones, evitando así accesos no autorizados. Debe existir un adecuado nivel de segregación de funciones que regule las actividades ejecutadas por los administradores de datos. Se debe mantener un Log de actividades que registre las actividades de los administradores de datos. Los usuarios deben acceder a la información contenida en las bases de datos, únicamente a través de aplicaciones que cuentan con mecanismos de control que aseguren el acceso a la información autorizada (clave de acceso a la aplicación)

Auditoria Informática Unidad II Seguridad de la Información Seguridad Lógica Encriptación El nivel de protección de información debe estar basado en un análisis de riesgo. Este análisis debe permitir identificar cuando es necesario encriptar la información, el tipo, calidad del algoritmo de encriptación y el largo de las claves criptográficas a ser usadas. Toda información clasificada como restringida y confidencial debe ser almacenada, procesada y transmitida en forma encriptada. Todas las claves criptográficas deben estar protegidas contra modificación, perdida y destrucción.

Auditoria Informática Unidad II Seguridad de la Información Seguridad Lógica Administración de claves Las claves deben estar protegidas contra accesos y modificación no autorizada, perdida y destrucción. El equipamiento utilizado para generar y almacenar las claves debe estar físicamente protegido. La protección de las claves debe impedir su visualización, aun si se vulnera el acceso al medio que la contiene.

Auditoria Informática Unidad II Seguridad de la Información Seguridad Lógica Uso de Passwords; Las passwords o claves de usuario son un elemento importante de seguridad, por lo tanto, todo empleado o tercera parte, debe utilizar una clave segura para el acceso a los sistemas de la organización. Esta clave segura tiene la condición de personal e intransferible. Se considera una clave débil o no segura cuando: La clave contiene menos de ocho caracteres. La clave es encontrada en un diccionario. La clave es una palabra de uso común tal como: nombre de un familiar, mascota, amigo, colega, etc. La clave es fecha de cumpleaños u otra información personal como direcciones y números telefónicos.

Auditoria Informática Unidad II Seguridad de la Información Seguridad Lógica Se considera una clave segura cuando; La clave contiene may de ocho caracteres. La clave contiene caracteres en minúscula y mayúscula. La clave tiene dígitos de puntuación, letras y números intercalados. La clave no obedece a una palabra o lenguaje, dialecto o jerga Fácil de recordar.

Auditoria Informática Unidad II Seguridad de la Información Seguridad Lógica Intercambio de Información; prevenir la perdida, modificación o acceso no autorizado y el mal uso de la información que la empresa intercambia como parte de sus procesos de negocio. Acuerdos de intercambio; en todos los casos de intercambio de información sensible, se deben tomar todos los resguardos que eviten su revelación no autorizada. Todo intercambio de información debe estar autorizada expresamente por el dueño de esta.

Auditoria Informática Unidad II Seguridad de la Información Seguridad Lógica Intercambio de Información (continuación…). Seguridad de los medios removibles; El dueño de la información es quien autoriza a través de algún medio removible desde la organización. Los dispositivos que permiten a los computadores manejar medios removibles, deben ser habilitados cuando haya una razón de negocio para hacerlo y previa autorización del dueño de la información.

Auditoria Informática Unidad II Seguridad de la Información Seguridad Lógica Seguridad en el comercio electrónico. La información involucrada en comercio electrónico y que pasa por redes publicas, debe estar protegida de actividades fraudulentas, disputas contractuales y revelaciones o modificaciones no autorizadas.

Auditoria Informática Unidad II Seguridad de la Información Seguridad Lógica Seguridad en el correo electrónico. El correo electrónico es provisto por la empresa a los empleados y terceras partes, para facilitar el desempeño de sus funciones. La asignación de esta herramienta de trabajo debe hacerse considerando una evaluación de riesgo. El correo es personalizado, es decir no es aceptable la utilización del correo de otra persona, por tanto se asume responsable del envío al remitente (DE:) y no quien lo firma.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.