Informatica
Auditoría de Sistemas
UEES
Nombre:
Fecha: 20 de Mayo de 2011
1) Explique tres aspectos de la norma PCI, y de un pequeño plan de cómo aplicarlas para una empresa de tienda por departamentos, con ventas presenciales y adicionalmente, por internet (25 puntos)
2) Establezca una tabla de priorización de al menos 5 riesgos informáticos, para una cooperativa deahorro y crédito, establezca contingencias, tomando en cuenta que dicha cooperativa deberá ser muy austera en su inversión, porque recién iniciará operaciones(25 puntos)
Análisis de los posibles riesgos y amenazas a la red
6.4.1 Lógicos
Entre los posibles riesgos y amenazas que se pueden presentar en la red y la empresa
tenemos:
[?] Virus: esteposible riesgo que es muy común ya que al estar conectados a
Internet la posibilidad de adquisición de virus es mas fácil, también el uso
frecuente de dispositivos extraíbles como memorias flash, disketes, etc., son
medios de contagios mas frecuentes hoy en día.
[?] Ataques a la red por Internet: Los ataques desde el exterior son una de las
amenazas de quemas cuidado se debe tener, ya que estas pueden tener acceso
a la información valiosa de la empresa.
[?] Denegación de servicios: conocido como DoS (Denial of Service), es un
tipo de ataque que provoca la pérdida de la conectividad de la red por el alto
consumo del ancho de banda, se genera mediante la saturación de los puertos
con flujo de información,haciendo que el servidor se sobrecargue y no pueda
seguir prestando servicios.
[?] Fraudes informáticos: Este tipo de ataque se puede dar por usuarios mal
intencionados que pretenden alterar las transacciones bancarias en nuestro
caso, robar información, instalar programas maliciosos, borrar información,
etc. Con el único fin de perjudicar a la mismao para su propio beneficio.
[?] Acceso no autorizado a las aplicaciones: el sistema de la empresa debe
contar con un adecuado control para el acceso a las aplicaciones es decir, se
debe pedir su identificación (usuario y clave) para acceder a realizar cualquier
tipo de transacción, donde solo el personal autorizado tenga este privilegio de
acceso.[?] Acceso no autorizado a las bases de datos: esta se puede dar al existir
usuarios mal intencionado o ingenuos que accedan a la misma con el único DISEÑO DEL PLAN DE SEGURIDAD “ERCO”
69
fin de alterar o borrar la información, lo cual perjudicaría a la organización y
a susclientes.
[?] Divulgación de la información no autorizada. La empresa debe
concienciar a sus empleados de la importancia de la privacidad de la
información con el fin de proteger a la empresa y a sus clientes.
Seguridad Lógica
Identificación de usuarios
[?] Debe existir una política formal de control de acceso a datos donde se detallecomo mínimo:
El nivel de confidencialidad de los datos y su sensibilidad,
Los procedimientos de otorgamiento de claves de usuarios para el
ingreso a los sistemas,
Los estándares fijados para la identificación y la autenticación de
usuarios.
[?] Para dar de alta un usuario al sistema debe existir un procedimiento formal,
por escrito,que regule y exija el ingreso de los siguientes datos:
Identificación del usuario, deberá ser única e irrepetible,
Password, debe ser personal e ingresado por el usuario,
Nombre y apellido completo,
Sucursal de la empresa donde trabaja,
Grupo de usuarios al que pertenece,
Fecha de expiración del password,
Fecha de anulación de...
Regístrate para leer el documento completo.