SlideShare a Scribd company logo

Tema 4

Carmelo Branimir España Villegas
Carmelo Branimir España Villegas
1 of 45
Download to read offline
La auditoría física Tema IV Auditoria Informática
¡No compliques tu trabajo! Concibe la solución más simple al PROBLEMA. Aprende a centrarte en las SOLUCIONES y no, en los PROBLEMAS.
Introducción • Lo físico es para dar un soporte tangible. • No es solo Hardware • En toda actividad se mezcla lo físico lo funcional y lo humano. • La auditoria física no se debe limitar a comprobar la existencia de los medios físicos sino también su funcionalidad racionalidad, y SEGURIDAD.
La seguridad física • Existen tres tipos de seguridad: – Seguridad lógica. – Seguridad física. – Seguridad de las comunicaciones. • La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales • Contingencia: es la proximidad de algún daño como riesgo de fallo local o general en una relación con la cronológica.
Seguridad de la Información 1. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. 2. La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. La seguridad física
Seguridad de la Información 1. El propósito de la Seguridad Física es prevenir el acceso físico no autorizado, daños a las instalaciones e interrupciones al procesamiento de información. La seguridad física
Seguridad de la Información • Perímetro de Seguridad Física – Las instalaciones de procesamientode información deben estar protegidas contra interrupciones o daños producto del acceso no autorizado al área. Por lo tanto, es necesario mantener un perímetro de seguridad en torno a las instalaciones físicas que cumpla con tal objetivo. – El nivel de seguridad de la información debe estar asociado al nivel de impacto que provocaría una interrupción en los procesos de la empresa, el daño a la integridad y la divulgación de la información reservada o confidencial. La seguridad física
Seguridad de la Información • Controles Físicos – Las áreas de procesamiento deben contar con controles de acceso que aseguren el ingreso solo a personal autorizado. Los siguientes controles deben ser considerados: • Exigencia de portar la identificación al momento del ingreso y durante el periodo en que se encuentra en la instalación. • Supervisión para los visitantes y personal que no cumple labores frecuentes. • Registro con fecha y hora de entrada y salida de personal. • Los derechos de acceso deben ser periódicamente revisados y actualizados. La seguridad física
Seguridad de la Información • Controles Físicos (continuación…) – Seguridad en las oficinas: • Todos los lugares en que se declare trabajar con información sensible, deben contar con medidas que eviten el acceso del público y personal no autorizado. • Las áreas comerciales deben contar con mecanismos de seguridad que impidan el acceso no autorizado a información sensible que manejen, sobre todo en horario de atención de público. • Las máquinas de fax, fotocopiadoras y equipamiento que manejan información sensible, deben estar ubicado dentro del área protegida. La seguridad física
Seguridad de la Información • Controles Físicos (continuación…) – Áreas de recepción y despacho: • Las áreas de recepción y despacho deben ser controlada y en la medida de lo posible, aisladas de áreas que manejen información sensible, para evitar el acceso no autorizado. • Los requerimientos de seguridad de tales áreas deben estar determinados por una evaluación de riesgos. La seguridad física
Seguridad de la Información • Seguridad Lógica – Control de Acceso: su propósito es evitar el acceso no autorizado a la información digital e instalaciones de procesamiento de datos. • Administración de usuarios; 1. El nivel de acceso asignado debe ser consistente con el propósito del negocio. 2. Todo usuario que acceda a los sistemas de información de la empresa, debe tener asignado un identificador único (user ID), que permita establecer responsabilidades individuales en el uso de los sistemas de información. 3. Los permisos asignados a los usuarios deben estar adecuadamente registrados y protegidos. La seguridad física
Seguridad de la Información • Seguridad Lógica – Administración de usuarios (continuación) 4. Cualquier cambio de posición o función de un rol, amerita evaluación de los permisos asignados, con el fin de realizar las modificaciones que correspondan en forma oportuna . 5. Los sistemas de información de la organización, deben contar con mecanismos robustos de autenticación de usuarios, sobre todo de aquellos usuarios conectados desde redes externas. 6. La creación, modificación y eliminación de claves debe ser controlada a través de un procedimiento formal. La seguridad física
Seguridad de la Información • Seguridad Lógica – Control de red 1. La empresa debe contar con controles que protejan la información dispuesta en las redes de información y los servicios interconectados, evitando así accesos no autorizados (ejemplo; firewalls). 2. Debe existir un adecuado nivel de segregación funcional que regule las actividades ejecutadas por los administradores de redes, operaciones y seguridad. 3. Deben existir Logs de eventos que permita el monitoreo de incidentes de seguridad en redes. La seguridad física
Seguridad de la Información • Seguridad Lógica – Control de datos 1. La empresa debe contar con controles que protejan la información dispuesta en las bases de datos de las aplicaciones, evitando así accesos no autorizados. 2. Debe existir un adecuado nivel de segregación de funciones que regule las actividades ejecutadas por los administradores de datos. 3. Se debe mantener un Log de actividades que registre las actividades de los administradores de datos. 4. Los usuarios deben acceder a la información contenida en las bases de datos, únicamente a través de aplicaciones que cuentan con mecanismos de control que aseguren el acceso a la información autorizada (clave de acceso a la aplicación) La seguridad física
Seguridad de la Información • Seguridad Lógica – Encriptación 1. El nivel de protección de información debe estar basado en un análisis de riesgo. 2. Este análisis debe permitir identificar cuando es necesario encriptar la información, el tipo, calidad del algoritmo de encriptación y el largo de las claves criptográficas a ser usadas. 3. Toda información clasificada como restringida y confidencial debe ser almacenada, procesada y transmitida en forma encriptada. 4. Todas las claves criptográficas deben estar protegidas contra modificación, perdida y destrucción. La seguridad física
Seguridad de la Información • Seguridad Lógica – Administración de claves 1. Las claves deben estar protegidas contra accesos y modificación no autorizada, perdida y destrucción. 2. El equipamiento utilizado para generar y almacenar las claves debe estar físicamente protegido. 3. La protección de las claves debe impedir su visualización, aun si se vulnera el acceso al medio que la contiene. La seguridad física
Seguridad de la Información • Seguridad Lógica – Uso de Passwords; Las passwords o claves de usuario son un elemento importante de seguridad, por lo tanto, todo empleado o tercera parte, debe utilizar una clave segura para el acceso a los sistemas de la organización. Esta clave segura tiene la condición de personal e intransferible. – Se considera una clave débil o no segura cuando: 1. La clave contiene menos de ocho caracteres. 2. La clave es encontrada en un diccionario. 3. La clave es una palabra de uso común tal como: nombre de un familiar, mascota, amigo, colega, etc. 4. La clave es fecha de cumpleaños u otra información personal como direcciones y números telefónicos. La seguridad física
Seguridad de la Información • Seguridad Lógica – Se considera una clave segura cuando; 1. La clave contiene may de ocho caracteres. 2. La clave contiene caracteres en minúscula y mayúscula. 3. La clave tiene dígitos de puntuación, letras y números intercalados. 4. La clave no obedece a una palabra o lenguaje, dialecto o jerga 5. Fácil de recordar. La seguridad física
Seguridad de la Información • Seguridad Lógica – Intercambio de Información; prevenir la perdida, modificación o acceso no autorizado y el mal uso de la información que la empresa intercambia como parte de sus procesos de negocio. • Acuerdos de intercambio; en todos los casos de intercambio de información sensible, se deben tomar todos los resguardos que eviten su revelación no autorizada. • Todo intercambio de información debe estar autorizada expresamente por el dueño de esta. La seguridad física
Seguridad de la Información • Seguridad Lógica – Intercambio de Información (continuación…). • Seguridad de los medios removibles; • El dueño de la información es quien autoriza a través de algún medio removible desde la organización. • Los dispositivos que permiten a los computadores manejar medios removibles, deben ser habilitados cuando haya una razón de negocio para hacerlo y previa autorización del dueño de la información. La seguridad física
Seguridad de la Información • Seguridad Lógica – Seguridad en el comercio electrónico. • La información involucrada en comercio electrónico y que pasa por redes publicas, debe estar protegida de actividades fraudulentas, disputas contractuales y revelaciones o modificaciones no autorizadas. La seguridad física
Seguridad de la Información • Seguridad Lógica – Seguridad en el correo electrónico. • El correo electrónico es provisto por la empresa a los empleados y terceras partes, para facilitar el desempeño de sus funciones. • La asignación de esta herramienta de trabajo debe hacerse considerando una evaluación de riesgo. • El correo es personalizado, es decir no es aceptable la utilización del correo de otra persona, por tanto se asume responsable del envío al remitente (DE:) y no quien lo firma. La seguridad física
La Auditoria Física no se limita a comparar solo la existencia de los medios físicos, sino también su funcionalidad, racionalidad y seguridad. La auditoría física
Definición de auditoria física Riesgo Control Pruebas
SEGURIDAD FÍSICA Garantiza la integridad de los activos humanos, lógicos y materiales del Objeto a analizar.
Medidas a preparar según el momento del Fallo Después Antes Durante Grado de Seguridad; es un conjunto de acciones utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias que de el se puede derivar. Por lo que se toma encuentra los activos de la empresa Desastre; es cualquier evento que cuando ocurre tiene la capacidad de interrumpir el normal proceso de una empresa. Por eso se tiene que ejecutar un plan de contingencia adecuado. Los contratos de seguros, vienen a compensar las perdidas, gastos o responsabilidades una vez corregido el Fallo.
AREAS DE LA SEGURIDAD FISICA • Se considerara todas las áreas siempre considerando el aspecto físico de la seguridad y que serán tales como:  Organigrama de la Empresa  Auditoria Interna.  Administración de la Seguridad  Centros de Procesos de datos e instalaciones.  Equipos y Comunicación  Computadoras Personales  Seguridad Física del Personal Organigrama de la Empresa • Nos servirá para conocer las dependencias orgánicas funcionales y jerárquicas de los departamentos y los distintos cargos del personal.
Áreas de Seguridad Física • Auditoría interna: Es un departamento independiente, que debe guardar las auditorias pasadas, normas, procedimientos y planes de seguridad física. • Administración de la seguridad: Distribución de responsabilidades, funciones, dependencias y cargos en los componentes. • Centro de procesos de datos e instalaciones: Ayudan a la realización de la función informática y proporcionan seguridad las personas  Sala de Host  Sala de Operadores  Sala de impresoras  Cámara Acorazada  Oficinas  Almacenes….
…Áreas de Seguridad Física • Computadores personales: Equipos en los que hay que tener mucho cuidado especialmente cuando están conectados a la red por seguridad de los datos. • Equipos y comunicaciones.: El auditor debe tomar en cuenta que estos equipos son especiales debido a que en ellos se almacena toda la información. • Seguridad física del personal: Salidas y accesos seguros, todo lo que tiene que ver con plan de contingencia para el personal
Fuentes de Auditoría Física • Políticas, Normas y planes sobre seguridad emitidos y distribuidos por la dirección de la empresa y por el departamento de seguridad. • Auditorias anteriores referentes a la seguridad física. • Contratos seguros • Entrevistas con el personal de seguridad informático y otras cosas • Actas e informes técnicas y consultores, que permitan diagnosticar el estado físico del edificio • Informe sobre acceso y visitas • Políticas del personal, planificación y distribución de tareas, contratos, etc. • Inventarios de soporte Back-up, controles de salida y recuperación de soportes.
Objetivos de la Auditoría Física • Se basa en la lógica “de fuera adentro” los objetivos de la auditoría física se basan en prioridades con el siguiente orden: Edificio Instalaciones Equipamiento y telecomunicaciones Datos Personas
TÉCNICAS Y HERRAMIENTAS DEL AUDITOR Su fin es obtener la evidencia física
Técnicas • Observación • Revisión analítica • Entrevistas • Consultas
Técnicas - Observación • Instalaciones • Sistemas • Cumplimiento de Normas • Cumplimiento de Procedimientos • Etc. • No solo como espectador sino también como actor.
Técnicas - Revisión Analítica • Políticas y Normas de Actividad de Sala • Normas y Procedimientos sobre seguridad física de los datos. • Contratos de Seguros y de Mantenimiento • Documentación sobre: – Construcción y Preinstalaciones – Seguridad Física
Técnicas - Entrevistas • Directivos • Personal • Que no de la sensación de interrogatorio
Técnicas - Consultas • Técnicos y peritos que formen parte de la plantilla o independientes contratados
Herramientas • Cuaderno de Campo • Grabadora de Audio • Máquina Fotográfica • Cámara de Video
RESPONSABILIDADES DE LOS AUDITORES • No debe realizar su actividad como una mera función policial • Debe esforzarse más en dar una imagen de colaborador que intenta ayudar
Auditor Informático Interno • Revisar – Controles relativos a Seguridad Física – Cumplimiento de los Procedimientos – Cumplimiento de Políticas y Normas sobre Seguridad Física así como de las funciones de los distintos Responsables y Administradores de Seguridad • Evaluar Riesgos • Participar sin perder independencia en: – Selección, adquisición e implantación de equipos y materiales – Planes de Seguridad y de Contingencia, seguimiento, actualización, mantenimiento y prueba de los mismos • Efectuar auditorías programadas e imprevistas • Emitir Informes y efectuar el seguimiento de las recomendaciones
Auditor Informático Externo • Revisar las funciones de los auditores internos • Mismas responsabilidades que los auditores internos • Revisar los Planes de Seguridad y Contingencia. • Efectuar pruebas sobre los planes antes mencionados • Emitir informes y recomendaciones
FASES DE LA AUDITORÍA FÍSICA El Ciclo de Vida de este tipo de auditoría quedaría de acuerdo a las siguientes fases
Fases 1. Alcance de la Auditoría 2. Adquisición de Información General 3. Administración y Planificación 4. Plan de Auditoría 5. Resultado de las Pruebas 6. Conclusiones y Comentarios
Fases 7. Borrador del Informe 8. Discusión con los Responsables de Área 9. Informe Final – Informe – Anexo al Informe – Carpeta de Evidencias 10.Seguimiento de las Modificaciones acordadas

Recommended

Tema 4
Tema 4Tema 4
Tema 4Carmelo Branimir España Villegas
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Ana Pino
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacionIvonne Soledad Gonzales
 
Política de seguridad de la información telefonica
Política de seguridad de la información telefonicaPolítica de seguridad de la información telefonica
Política de seguridad de la información telefonicaLuis de Oca
 
Mi presentación de la seguridad informatica
Mi presentación de la seguridad informaticaMi presentación de la seguridad informatica
Mi presentación de la seguridad informaticajeseniamagaly
 
Segurida logica
Segurida logicaSegurida logica
Segurida logicaRennytox Hernandez
 
Ut1 conceptos basicos
Ut1 conceptos basicosUt1 conceptos basicos
Ut1 conceptos basicosVíctor Fernández López
 
Seguridad informatica(1).docx
Seguridad informatica(1).docxSeguridad informatica(1).docx
Seguridad informatica(1).docxLizy Pineda
 

Recommended

Tema 4
Tema 4Tema 4
Tema 4Carmelo Branimir España Villegas
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Ana Pino
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacionIvonne Soledad Gonzales
 
Política de seguridad de la información telefonica
Política de seguridad de la información telefonicaPolítica de seguridad de la información telefonica
Política de seguridad de la información telefonicaLuis de Oca
 
Mi presentación de la seguridad informatica
Mi presentación de la seguridad informaticaMi presentación de la seguridad informatica
Mi presentación de la seguridad informaticajeseniamagaly
 
Segurida logica
Segurida logicaSegurida logica
Segurida logicaRennytox Hernandez
 
Ut1 conceptos basicos
Ut1 conceptos basicosUt1 conceptos basicos
Ut1 conceptos basicosVíctor Fernández López
 
Seguridad informatica(1).docx
Seguridad informatica(1).docxSeguridad informatica(1).docx
Seguridad informatica(1).docxLizy Pineda
 
Seguridad logica
Seguridad logicaSeguridad logica
Seguridad logicajel_69
 
La Seguridad Y Los Controles Logicos
La Seguridad Y Los Controles LogicosLa Seguridad Y Los Controles Logicos
La Seguridad Y Los Controles LogicosNet-Learning - Soluciones para e-learning
 
Administración de la función informática: Seguridad fisíca y lógica en el cen...
Administración de la función informática: Seguridad fisíca y lógica en el cen...Administración de la función informática: Seguridad fisíca y lógica en el cen...
Administración de la función informática: Seguridad fisíca y lógica en el cen...liras loca
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticaChenny3
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaDarbyPC
 
Seguridad en redes de computadores
Seguridad en redes de computadoresSeguridad en redes de computadores
Seguridad en redes de computadoresRicardoo Rodriguez Suarez
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logicaIng. LucioJAP
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Preguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPreguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPedro Cobarrubias
 
Tico trabajo 2.0
Tico trabajo 2.0Tico trabajo 2.0
Tico trabajo 2.0SaraAntolnMartn
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaUPTM
 
Seguridad informatica pierina lanfranco
Seguridad informatica pierina lanfrancoSeguridad informatica pierina lanfranco
Seguridad informatica pierina lanfrancoPierina Lanfranco
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaEduardo1601
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticauriel plata
 
Seguridad lógica
Seguridad lógicaSeguridad lógica
Seguridad lógicatecnodelainfo
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informáticajason031988
 
Flor.seguridad fisica del entorno
Flor.seguridad fisica del entornoFlor.seguridad fisica del entorno
Flor.seguridad fisica del entornoFlor Yaleni Rodas Lozano
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticagra23313
 
Diapositivas de redes
Diapositivas de redesDiapositivas de redes
Diapositivas de redesGenesis salazar
 
Seguridad Informática - UTS
Seguridad Informática - UTSSeguridad Informática - UTS
Seguridad Informática - UTSJose Manuel Acosta
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaJose Manuel Acosta
 

More Related Content

What's hot

Seguridad logica
Seguridad logicaSeguridad logica
Seguridad logicajel_69
 
Administración de la función informática: Seguridad fisíca y lógica en el cen...
Administración de la función informática: Seguridad fisíca y lógica en el cen...Administración de la función informática: Seguridad fisíca y lógica en el cen...
Administración de la función informática: Seguridad fisíca y lógica en el cen...liras loca
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticaChenny3
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaDarbyPC
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logicaIng. LucioJAP
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Preguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPreguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPedro Cobarrubias
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaUPTM
 
Seguridad informatica pierina lanfranco
Seguridad informatica pierina lanfrancoSeguridad informatica pierina lanfranco
Seguridad informatica pierina lanfrancoPierina Lanfranco
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaEduardo1601
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticauriel plata
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informáticajason031988
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticagra23313
 

What's hot (20)

Seguridad logica
Seguridad logicaSeguridad logica
Seguridad logica
 
La Seguridad Y Los Controles Logicos
La Seguridad Y Los Controles LogicosLa Seguridad Y Los Controles Logicos
La Seguridad Y Los Controles Logicos
 
Administración de la función informática: Seguridad fisíca y lógica en el cen...
Administración de la función informática: Seguridad fisíca y lógica en el cen...Administración de la función informática: Seguridad fisíca y lógica en el cen...
Administración de la función informática: Seguridad fisíca y lógica en el cen...
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad Informática
 
Seguridad en redes de computadores
Seguridad en redes de computadoresSeguridad en redes de computadores
Seguridad en redes de computadores
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
Preguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPreguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad Informatica
 
Tico trabajo 2.0
Tico trabajo 2.0Tico trabajo 2.0
Tico trabajo 2.0
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/Logica
 
Seguridad informatica pierina lanfranco
Seguridad informatica pierina lanfrancoSeguridad informatica pierina lanfranco
Seguridad informatica pierina lanfranco
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad lógica
Seguridad lógicaSeguridad lógica
Seguridad lógica
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informática
 
Flor.seguridad fisica del entorno
Flor.seguridad fisica del entornoFlor.seguridad fisica del entorno
Flor.seguridad fisica del entorno
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Diapositivas de redes
Diapositivas de redesDiapositivas de redes
Diapositivas de redes
 

Similar to Tema 4

Asignación a cargo del docente
Asignación a cargo del docenteAsignación a cargo del docente
Asignación a cargo del docenteYanin Valencia
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Seguridad de datos
Seguridad de datosSeguridad de datos
Seguridad de datosCoiam
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidad
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidadSi tema 02 - principios de si - confidencialidad, integridad y disponibilidad
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidadelvis castro diaz
 
Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Informpachiuss
 
Unidad II seguridad Fisica Lógica
Unidad II seguridad Fisica LógicaUnidad II seguridad Fisica Lógica
Unidad II seguridad Fisica LógicaLisby Mora
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥97vega
 

Similar to Tema 4 (20)

Seguridad Informática - UTS
Seguridad Informática - UTSSeguridad Informática - UTS
Seguridad Informática - UTS
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Auditoriacharla
AuditoriacharlaAuditoriacharla
Auditoriacharla
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
La Seguridad Logica
La Seguridad LogicaLa Seguridad Logica
La Seguridad Logica
 
Asignación a cargo del docente
Asignación a cargo del docenteAsignación a cargo del docente
Asignación a cargo del docente
 
información Segura
información Segurainformación Segura
información Segura
 
Seguridad
SeguridadSeguridad
Seguridad
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad de datos
Seguridad de datosSeguridad de datos
Seguridad de datos
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidad
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidadSi tema 02 - principios de si - confidencialidad, integridad y disponibilidad
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidad
 
Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Inform
 
Dispositivos de seguridad
Dispositivos de seguridadDispositivos de seguridad
Dispositivos de seguridad
 
Unidad II seguridad Fisica Lógica
Unidad II seguridad Fisica LógicaUnidad II seguridad Fisica Lógica
Unidad II seguridad Fisica Lógica
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥
 

More from Carmelo Branimir España Villegas

Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpCarmelo Branimir España Villegas
 

More from Carmelo Branimir España Villegas (20)

La norma de calidad ISO 25000, aplíquela
La norma de calidad ISO 25000, aplíquelaLa norma de calidad ISO 25000, aplíquela
La norma de calidad ISO 25000, aplíquela
 
Nosotros los maduritos
Nosotros los maduritosNosotros los maduritos
Nosotros los maduritos
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
 
Tema 2
Tema 2Tema 2
Tema 2
 
Tema 7
Tema 7Tema 7
Tema 7
 
Tema 8
Tema 8Tema 8
Tema 8
 
Tema 9
Tema 9Tema 9
Tema 9
 
Tema 6
Tema 6Tema 6
Tema 6
 
Tema 5
Tema 5Tema 5
Tema 5
 
Tema 3
Tema 3Tema 3
Tema 3
 
Tema 1
Tema 1Tema 1
Tema 1
 
Introduccion ipv6 v11
Introduccion ipv6 v11Introduccion ipv6 v11
Introduccion ipv6 v11
 
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
 
Tema 1
Tema 1Tema 1
Tema 1
 
Tema 1tarea
Tema 1tareaTema 1tarea
Tema 1tarea
 
Memorias de un ingeniero
Memorias de un ingenieroMemorias de un ingeniero
Memorias de un ingeniero
 
Edad media
Edad mediaEdad media
Edad media
 
Edad media
Edad mediaEdad media
Edad media
 
Explicacion crisis
Explicacion crisisExplicacion crisis
Explicacion crisis
 
Techyredes espanol
Techyredes espanolTechyredes espanol
Techyredes espanol
 

Tema 4

  • 1. La auditoría física Tema IV Auditoria Informática
  • 2. ¡No compliques tu trabajo! Concibe la solución más simple al PROBLEMA. Aprende a centrarte en las SOLUCIONES y no, en los PROBLEMAS.
  • 3. Introducción • Lo físico es para dar un soporte tangible. • No es solo Hardware • En toda actividad se mezcla lo físico lo funcional y lo humano. • La auditoria física no se debe limitar a comprobar la existencia de los medios físicos sino también su funcionalidad racionalidad, y SEGURIDAD.
  • 4. La seguridad física • Existen tres tipos de seguridad: – Seguridad lógica. – Seguridad física. – Seguridad de las comunicaciones. • La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales • Contingencia: es la proximidad de algún daño como riesgo de fallo local o general en una relación con la cronológica.
  • 5. Seguridad de la Información 1. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. 2. La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. La seguridad física
  • 6. Seguridad de la Información 1. El propósito de la Seguridad Física es prevenir el acceso físico no autorizado, daños a las instalaciones e interrupciones al procesamiento de información. La seguridad física
  • 7. Seguridad de la Información • Perímetro de Seguridad Física – Las instalaciones de procesamientode información deben estar protegidas contra interrupciones o daños producto del acceso no autorizado al área. Por lo tanto, es necesario mantener un perímetro de seguridad en torno a las instalaciones físicas que cumpla con tal objetivo. – El nivel de seguridad de la información debe estar asociado al nivel de impacto que provocaría una interrupción en los procesos de la empresa, el daño a la integridad y la divulgación de la información reservada o confidencial. La seguridad física
  • 8. Seguridad de la Información • Controles Físicos – Las áreas de procesamiento deben contar con controles de acceso que aseguren el ingreso solo a personal autorizado. Los siguientes controles deben ser considerados: • Exigencia de portar la identificación al momento del ingreso y durante el periodo en que se encuentra en la instalación. • Supervisión para los visitantes y personal que no cumple labores frecuentes. • Registro con fecha y hora de entrada y salida de personal. • Los derechos de acceso deben ser periódicamente revisados y actualizados. La seguridad física
  • 9. Seguridad de la Información • Controles Físicos (continuación…) – Seguridad en las oficinas: • Todos los lugares en que se declare trabajar con información sensible, deben contar con medidas que eviten el acceso del público y personal no autorizado. • Las áreas comerciales deben contar con mecanismos de seguridad que impidan el acceso no autorizado a información sensible que manejen, sobre todo en horario de atención de público. • Las máquinas de fax, fotocopiadoras y equipamiento que manejan información sensible, deben estar ubicado dentro del área protegida. La seguridad física
  • 10. Seguridad de la Información • Controles Físicos (continuación…) – Áreas de recepción y despacho: • Las áreas de recepción y despacho deben ser controlada y en la medida de lo posible, aisladas de áreas que manejen información sensible, para evitar el acceso no autorizado. • Los requerimientos de seguridad de tales áreas deben estar determinados por una evaluación de riesgos. La seguridad física
  • 11. Seguridad de la Información • Seguridad Lógica – Control de Acceso: su propósito es evitar el acceso no autorizado a la información digital e instalaciones de procesamiento de datos. • Administración de usuarios; 1. El nivel de acceso asignado debe ser consistente con el propósito del negocio. 2. Todo usuario que acceda a los sistemas de información de la empresa, debe tener asignado un identificador único (user ID), que permita establecer responsabilidades individuales en el uso de los sistemas de información. 3. Los permisos asignados a los usuarios deben estar adecuadamente registrados y protegidos. La seguridad física
  • 12. Seguridad de la Información • Seguridad Lógica – Administración de usuarios (continuación) 4. Cualquier cambio de posición o función de un rol, amerita evaluación de los permisos asignados, con el fin de realizar las modificaciones que correspondan en forma oportuna . 5. Los sistemas de información de la organización, deben contar con mecanismos robustos de autenticación de usuarios, sobre todo de aquellos usuarios conectados desde redes externas. 6. La creación, modificación y eliminación de claves debe ser controlada a través de un procedimiento formal. La seguridad física
  • 13. Seguridad de la Información • Seguridad Lógica – Control de red 1. La empresa debe contar con controles que protejan la información dispuesta en las redes de información y los servicios interconectados, evitando así accesos no autorizados (ejemplo; firewalls). 2. Debe existir un adecuado nivel de segregación funcional que regule las actividades ejecutadas por los administradores de redes, operaciones y seguridad. 3. Deben existir Logs de eventos que permita el monitoreo de incidentes de seguridad en redes. La seguridad física
  • 14. Seguridad de la Información • Seguridad Lógica – Control de datos 1. La empresa debe contar con controles que protejan la información dispuesta en las bases de datos de las aplicaciones, evitando así accesos no autorizados. 2. Debe existir un adecuado nivel de segregación de funciones que regule las actividades ejecutadas por los administradores de datos. 3. Se debe mantener un Log de actividades que registre las actividades de los administradores de datos. 4. Los usuarios deben acceder a la información contenida en las bases de datos, únicamente a través de aplicaciones que cuentan con mecanismos de control que aseguren el acceso a la información autorizada (clave de acceso a la aplicación) La seguridad física
  • 15. Seguridad de la Información • Seguridad Lógica – Encriptación 1. El nivel de protección de información debe estar basado en un análisis de riesgo. 2. Este análisis debe permitir identificar cuando es necesario encriptar la información, el tipo, calidad del algoritmo de encriptación y el largo de las claves criptográficas a ser usadas. 3. Toda información clasificada como restringida y confidencial debe ser almacenada, procesada y transmitida en forma encriptada. 4. Todas las claves criptográficas deben estar protegidas contra modificación, perdida y destrucción. La seguridad física
  • 16. Seguridad de la Información • Seguridad Lógica – Administración de claves 1. Las claves deben estar protegidas contra accesos y modificación no autorizada, perdida y destrucción. 2. El equipamiento utilizado para generar y almacenar las claves debe estar físicamente protegido. 3. La protección de las claves debe impedir su visualización, aun si se vulnera el acceso al medio que la contiene. La seguridad física
  • 17. Seguridad de la Información • Seguridad Lógica – Uso de Passwords; Las passwords o claves de usuario son un elemento importante de seguridad, por lo tanto, todo empleado o tercera parte, debe utilizar una clave segura para el acceso a los sistemas de la organización. Esta clave segura tiene la condición de personal e intransferible. – Se considera una clave débil o no segura cuando: 1. La clave contiene menos de ocho caracteres. 2. La clave es encontrada en un diccionario. 3. La clave es una palabra de uso común tal como: nombre de un familiar, mascota, amigo, colega, etc. 4. La clave es fecha de cumpleaños u otra información personal como direcciones y números telefónicos. La seguridad física
  • 18. Seguridad de la Información • Seguridad Lógica – Se considera una clave segura cuando; 1. La clave contiene may de ocho caracteres. 2. La clave contiene caracteres en minúscula y mayúscula. 3. La clave tiene dígitos de puntuación, letras y números intercalados. 4. La clave no obedece a una palabra o lenguaje, dialecto o jerga 5. Fácil de recordar. La seguridad física
  • 19. Seguridad de la Información • Seguridad Lógica – Intercambio de Información; prevenir la perdida, modificación o acceso no autorizado y el mal uso de la información que la empresa intercambia como parte de sus procesos de negocio. • Acuerdos de intercambio; en todos los casos de intercambio de información sensible, se deben tomar todos los resguardos que eviten su revelación no autorizada. • Todo intercambio de información debe estar autorizada expresamente por el dueño de esta. La seguridad física
  • 20. Seguridad de la Información • Seguridad Lógica – Intercambio de Información (continuación…). • Seguridad de los medios removibles; • El dueño de la información es quien autoriza a través de algún medio removible desde la organización. • Los dispositivos que permiten a los computadores manejar medios removibles, deben ser habilitados cuando haya una razón de negocio para hacerlo y previa autorización del dueño de la información. La seguridad física
  • 21. Seguridad de la Información • Seguridad Lógica – Seguridad en el comercio electrónico. • La información involucrada en comercio electrónico y que pasa por redes publicas, debe estar protegida de actividades fraudulentas, disputas contractuales y revelaciones o modificaciones no autorizadas. La seguridad física
  • 22. Seguridad de la Información • Seguridad Lógica – Seguridad en el correo electrónico. • El correo electrónico es provisto por la empresa a los empleados y terceras partes, para facilitar el desempeño de sus funciones. • La asignación de esta herramienta de trabajo debe hacerse considerando una evaluación de riesgo. • El correo es personalizado, es decir no es aceptable la utilización del correo de otra persona, por tanto se asume responsable del envío al remitente (DE:) y no quien lo firma. La seguridad física
  • 23. La Auditoria Física no se limita a comparar solo la existencia de los medios físicos, sino también su funcionalidad, racionalidad y seguridad. La auditoría física
  • 24. Definición de auditoria física Riesgo Control Pruebas
  • 25. SEGURIDAD FÍSICA Garantiza la integridad de los activos humanos, lógicos y materiales del Objeto a analizar.
  • 26. Medidas a preparar según el momento del Fallo Después Antes Durante Grado de Seguridad; es un conjunto de acciones utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias que de el se puede derivar. Por lo que se toma encuentra los activos de la empresa Desastre; es cualquier evento que cuando ocurre tiene la capacidad de interrumpir el normal proceso de una empresa. Por eso se tiene que ejecutar un plan de contingencia adecuado. Los contratos de seguros, vienen a compensar las perdidas, gastos o responsabilidades una vez corregido el Fallo.
  • 27.
  • 28. AREAS DE LA SEGURIDAD FISICA • Se considerara todas las áreas siempre considerando el aspecto físico de la seguridad y que serán tales como:  Organigrama de la Empresa  Auditoria Interna.  Administración de la Seguridad  Centros de Procesos de datos e instalaciones.  Equipos y Comunicación  Computadoras Personales  Seguridad Física del Personal Organigrama de la Empresa • Nos servirá para conocer las dependencias orgánicas funcionales y jerárquicas de los departamentos y los distintos cargos del personal.
  • 29. Áreas de Seguridad Física • Auditoría interna: Es un departamento independiente, que debe guardar las auditorias pasadas, normas, procedimientos y planes de seguridad física. • Administración de la seguridad: Distribución de responsabilidades, funciones, dependencias y cargos en los componentes. • Centro de procesos de datos e instalaciones: Ayudan a la realización de la función informática y proporcionan seguridad las personas  Sala de Host  Sala de Operadores  Sala de impresoras  Cámara Acorazada  Oficinas  Almacenes….
  • 30. …Áreas de Seguridad Física • Computadores personales: Equipos en los que hay que tener mucho cuidado especialmente cuando están conectados a la red por seguridad de los datos. • Equipos y comunicaciones.: El auditor debe tomar en cuenta que estos equipos son especiales debido a que en ellos se almacena toda la información. • Seguridad física del personal: Salidas y accesos seguros, todo lo que tiene que ver con plan de contingencia para el personal
  • 31. Fuentes de Auditoría Física • Políticas, Normas y planes sobre seguridad emitidos y distribuidos por la dirección de la empresa y por el departamento de seguridad. • Auditorias anteriores referentes a la seguridad física. • Contratos seguros • Entrevistas con el personal de seguridad informático y otras cosas • Actas e informes técnicas y consultores, que permitan diagnosticar el estado físico del edificio • Informe sobre acceso y visitas • Políticas del personal, planificación y distribución de tareas, contratos, etc. • Inventarios de soporte Back-up, controles de salida y recuperación de soportes.
  • 32. Objetivos de la Auditoría Física • Se basa en la lógica “de fuera adentro” los objetivos de la auditoría física se basan en prioridades con el siguiente orden: Edificio Instalaciones Equipamiento y telecomunicaciones Datos Personas
  • 33. TÉCNICAS Y HERRAMIENTAS DEL AUDITOR Su fin es obtener la evidencia física
  • 34. Técnicas • Observación • Revisión analítica • Entrevistas • Consultas
  • 35. Técnicas - Observación • Instalaciones • Sistemas • Cumplimiento de Normas • Cumplimiento de Procedimientos • Etc. • No solo como espectador sino también como actor.
  • 36. Técnicas - Revisión Analítica • Políticas y Normas de Actividad de Sala • Normas y Procedimientos sobre seguridad física de los datos. • Contratos de Seguros y de Mantenimiento • Documentación sobre: – Construcción y Preinstalaciones – Seguridad Física
  • 37. Técnicas - Entrevistas • Directivos • Personal • Que no de la sensación de interrogatorio
  • 38. Técnicas - Consultas • Técnicos y peritos que formen parte de la plantilla o independientes contratados
  • 39. Herramientas • Cuaderno de Campo • Grabadora de Audio • Máquina Fotográfica • Cámara de Video
  • 40. RESPONSABILIDADES DE LOS AUDITORES • No debe realizar su actividad como una mera función policial • Debe esforzarse más en dar una imagen de colaborador que intenta ayudar
  • 41. Auditor Informático Interno • Revisar – Controles relativos a Seguridad Física – Cumplimiento de los Procedimientos – Cumplimiento de Políticas y Normas sobre Seguridad Física así como de las funciones de los distintos Responsables y Administradores de Seguridad • Evaluar Riesgos • Participar sin perder independencia en: – Selección, adquisición e implantación de equipos y materiales – Planes de Seguridad y de Contingencia, seguimiento, actualización, mantenimiento y prueba de los mismos • Efectuar auditorías programadas e imprevistas • Emitir Informes y efectuar el seguimiento de las recomendaciones
  • 42. Auditor Informático Externo • Revisar las funciones de los auditores internos • Mismas responsabilidades que los auditores internos • Revisar los Planes de Seguridad y Contingencia. • Efectuar pruebas sobre los planes antes mencionados • Emitir informes y recomendaciones
  • 43. FASES DE LA AUDITORÍA FÍSICA El Ciclo de Vida de este tipo de auditoría quedaría de acuerdo a las siguientes fases
  • 44. Fases 1. Alcance de la Auditoría 2. Adquisición de Información General 3. Administración y Planificación 4. Plan de Auditoría 5. Resultado de las Pruebas 6. Conclusiones y Comentarios
  • 45. Fases 7. Borrador del Informe 8. Discusión con los Responsables de Área 9. Informe Final – Informe – Anexo al Informe – Carpeta de Evidencias 10.Seguimiento de las Modificaciones acordadas