Auditoria de la informacion
Páginas: 6 (1392 palabras)
Publicado: 25 de mayo de 2011
AUDITORIA DE LA INFORMACIÓN.
Concepto de Seguridad Informática.
Es el conjunto de procedimientos, estrategias y herramientas que permitan garantizar la integridad, disponibilidad y la confidencialidad de la información de una entidad.
Importancia de la seguridad informática.
Por la existencia de personas ajenas a la información, también conocidas como piratas informáticos o hackers, quebuscan tener acceso a la red empresarial para modificar, sustraer o borrar datos.
Problemas comunes que afectan a la seguridad informática.
Autentificación
No repudio
Controles de acceso
Verificación de la propiedad de la información.
Amenazas de un sistema Informático:
Programas malignos: virus, espías, troyanos, gusanos, phishing, spam, etc.
Siniestros: robos, incendio, humedad,etc. pueden provocar pérdida de información.
Intrusos: piratas informáticos pueden acceder remotamente o físicamente a un sistema para provocar daños.
Operadores: los propios operadores de un sistema pueden debilitar y ser amenaza a la seguridad de un sistema no sólo por boicot, también por falta de capacitación o de interés.
Tipos de seguridad con respecto a la naturaleza de la amenaza.Seguridad Física
Seguridad Lógica
Seguridad Lógica en Hardware.
Almacenamiento de llaves
Encriptación
Los 7 requisitos para la seguridad informática.
Autenticación
Control de Acceso
Confidencialidad
Integridad
No Repudio
Disponibilidad
Privacidad
Ingeniería Social mal utilizada.
Consiste simplemente en conseguir “mediante engaño” que los usuarios autorizados revelen sus claves deacceso.
Problemas a los que se enfrenta la Seguridad Informática.
Falta de una cultura informática.
Falta de una cultura de seguridad en cómputo.
Dificultad al involucrar: Ética, Política, Derecho, Sociedad.
Dificultad de “vender” la idea de seguridad
El no dar acceso libre al documento de las políticas.
Falta de especialistas: Seguridad, Informática, etc.
Delito Informático.
Todaconducta ilícita susceptible de ser sancionada por el Derecho Penal, que hace referente al uso indebido de cualquier medio informático.
Clasificación del delito informático.
Como instrumento o medio:
Falsificación de documentos
Alteración de contabilidad
Planeación o simulación de delitos convencionales (robo, homicidio, etc.)
Lectura, robo copia o alteración de información confidencialDaño de información
Acceso y uso no autorizado de recursos de cómputo
Sabotaje
Como fin u objetivo:
Bloqueo de sistemas de información
Destrucción de programas
Daño o bloqueo de recursos del sistema (periféricos, memoria, etc.)
Daño físico a equipo de cómputo
Sabotaje político o terrorista
Robo o “secuestro” de soportes de información en medios magnéticos
Como realizar una política deseguridad.
Detectar la problemática
Responder a las preguntas siguientes:
¿Qué se debe de proteger?
¿Contra qué se debe de proteger?
¿Qué tipo de usuarios se tienen?
¿Quién debe de poder usar los recursos?
¿Qué constituye un uso adecuado de los recursos?
¿Quién debe proporcionar acceso al sistema?
Ejemplos de políticas de seguridad.
Cuentas de usuario:
Otorgada a usuarios legítimosConformada por un nombre y una contraseña
Tiempo de vida del sistema:
De contraseñas
Longitud mínima de 8 caracteres
Contener meta caracteres
No permitir redundancia
De respaldos:
Almacenamiento seguro de las cintas
Guardar por lo menos dos versiones anteriores
De correo electrónico:
El usuario es el único autorizado para leer su correo
Se prohíbe el uso con fines no laborales
Loscorreos deben de estar “firmados” (Digital ID, PGP)
Componentes de la clasificación de la seguridad informática.
Administrativa
Física
Técnica
Seguridad Administrativa
La componen:
Políticas de Seguridad
Procedimientos
Controles Administrativos
Políticas de seguridad
Establecen lo que los usuarios pueden y no pueden hacer al utilizar los recursos informáticos de la organización....
Concepto de Seguridad Informática.
Es el conjunto de procedimientos, estrategias y herramientas que permitan garantizar la integridad, disponibilidad y la confidencialidad de la información de una entidad.
Importancia de la seguridad informática.
Por la existencia de personas ajenas a la información, también conocidas como piratas informáticos o hackers, quebuscan tener acceso a la red empresarial para modificar, sustraer o borrar datos.
Problemas comunes que afectan a la seguridad informática.
Autentificación
No repudio
Controles de acceso
Verificación de la propiedad de la información.
Amenazas de un sistema Informático:
Programas malignos: virus, espías, troyanos, gusanos, phishing, spam, etc.
Siniestros: robos, incendio, humedad,etc. pueden provocar pérdida de información.
Intrusos: piratas informáticos pueden acceder remotamente o físicamente a un sistema para provocar daños.
Operadores: los propios operadores de un sistema pueden debilitar y ser amenaza a la seguridad de un sistema no sólo por boicot, también por falta de capacitación o de interés.
Tipos de seguridad con respecto a la naturaleza de la amenaza.Seguridad Física
Seguridad Lógica
Seguridad Lógica en Hardware.
Almacenamiento de llaves
Encriptación
Los 7 requisitos para la seguridad informática.
Autenticación
Control de Acceso
Confidencialidad
Integridad
No Repudio
Disponibilidad
Privacidad
Ingeniería Social mal utilizada.
Consiste simplemente en conseguir “mediante engaño” que los usuarios autorizados revelen sus claves deacceso.
Problemas a los que se enfrenta la Seguridad Informática.
Falta de una cultura informática.
Falta de una cultura de seguridad en cómputo.
Dificultad al involucrar: Ética, Política, Derecho, Sociedad.
Dificultad de “vender” la idea de seguridad
El no dar acceso libre al documento de las políticas.
Falta de especialistas: Seguridad, Informática, etc.
Delito Informático.
Todaconducta ilícita susceptible de ser sancionada por el Derecho Penal, que hace referente al uso indebido de cualquier medio informático.
Clasificación del delito informático.
Como instrumento o medio:
Falsificación de documentos
Alteración de contabilidad
Planeación o simulación de delitos convencionales (robo, homicidio, etc.)
Lectura, robo copia o alteración de información confidencialDaño de información
Acceso y uso no autorizado de recursos de cómputo
Sabotaje
Como fin u objetivo:
Bloqueo de sistemas de información
Destrucción de programas
Daño o bloqueo de recursos del sistema (periféricos, memoria, etc.)
Daño físico a equipo de cómputo
Sabotaje político o terrorista
Robo o “secuestro” de soportes de información en medios magnéticos
Como realizar una política deseguridad.
Detectar la problemática
Responder a las preguntas siguientes:
¿Qué se debe de proteger?
¿Contra qué se debe de proteger?
¿Qué tipo de usuarios se tienen?
¿Quién debe de poder usar los recursos?
¿Qué constituye un uso adecuado de los recursos?
¿Quién debe proporcionar acceso al sistema?
Ejemplos de políticas de seguridad.
Cuentas de usuario:
Otorgada a usuarios legítimosConformada por un nombre y una contraseña
Tiempo de vida del sistema:
De contraseñas
Longitud mínima de 8 caracteres
Contener meta caracteres
No permitir redundancia
De respaldos:
Almacenamiento seguro de las cintas
Guardar por lo menos dos versiones anteriores
De correo electrónico:
El usuario es el único autorizado para leer su correo
Se prohíbe el uso con fines no laborales
Loscorreos deben de estar “firmados” (Digital ID, PGP)
Componentes de la clasificación de la seguridad informática.
Administrativa
Física
Técnica
Seguridad Administrativa
La componen:
Políticas de Seguridad
Procedimientos
Controles Administrativos
Políticas de seguridad
Establecen lo que los usuarios pueden y no pueden hacer al utilizar los recursos informáticos de la organización....
Leer documento completo
Regístrate para leer el documento completo.