Descargar la presentación
La descarga está en progreso. Por favor, espere
1
Seguridad y Auditoria de Sistemas Ciclo 2009-1
SEGURIDAD LÓGICA Seguridad y Auditoria de Sistemas Ciclo Ing. Yolfer Hernández, CIA
2
Temario – Seguridad Lógica
Definición Rutas y Exposiciones de Acceso Lógico. Controles de acceso lógico.
3
Seguridad Lógica “Aplicación de procedimientos y barreras que resguarden la seguridad de uso del software, protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información." “Todo lo que no está permitido debe estar prohibido."
4
Rutas de acceso Lógico Consola de Operación Terminales On-Line
Procesamiento diferido Acceso por teléfono conmutado Redes de Telecomunicaciones Acceso por Internet
5
Exposiciones de acceso Lógico
Objetivos Resultados Desafío Corrupción de Información Ganancia política Revelación de Información Ganancia Acceso a servicios no Financiera autorizados Daños Denegación de Servicios
6
Exposiciones de acceso Lógico
Perpetradores: Empleados actuales y antiguos Visitantes educados o interesados. Personal contratado a tiempo parcial. Hackers / Crackers (vándalos). Chantaje Crimen Organizado Espionaje industrial
7
Exposiciones de acceso Lógico
Como se efectúa: Fraude Caballos de Troya <troyan horses> Ingeniería social Sabotaje Bombas lógicas <logic bombs> Virus informáticos / Gusanos Acceso no autorizado Puertas falsas <trap doors> Llave maestra <superzapping> Robo de servicios Informaciones residuales <scavenging, Trashing > Suplantación de personalidad <impersonation> Espionaje informático Espionaje, robo o hurto de software Fuga de Datos <data leakage>
8
Exposiciones de acceso Lógico
Impactos: Inhabilitación de Servicios Perdida financiera. Repercusión Legal Perdida de credibilidad o competitividad. Divulgación de Información sensible, confidencial o comprometedores
9
Seguridad Lógica - Objetivos
Restringir acceso a los programas, información, procesos e instalaciones. Asegurar principio de segregación de funciones: Los circuitos operativos críticos no deben ser manejados por una sola persona o departamento (programas, datos, procesos), para reducir riesgo de errores o irregularidades (fraude interno). Toda transacción debe ser realizada en cuatro etapas: registro, aprobación, autorización y ejecución . Asegurar uso de procedimientos correctos Trabajar con supervisión minuciosa y adecuado uso de los datos, archivos y programas. Asegurar procedimientos de Transmisión de datos La información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. La información recibida sea la misma que ha sido transmitida. Asegurar procedimientos de contingencia Existencia de sistemas alternativos secundarios, tanto de procesamiento como transmisión.
10
Acceso Lógico - Controles
Identificación y Autentificación Definir roles y responsabilidades Administración de perfiles y usuarios Transacciones o accesos autorizados Limitaciones a los Servicios Modalidad de Acceso Ubicación y Horario Controles de Acceso Interno y Externo
11
Acceso Lógico – Donde aplicar
Datos, Logs, Archivos temporales, Backups Directorios y diccionarios de datos Librerías de archivos y de contraseñas Software de aplicación: Pruebas y Producción. Software del sistema y utilitarios Software de Seguridad Líneas de Telecomunicaciones y Red Perimetral. Librerías de procedimientos
Presentaciones similares
