Conceptos Basicos de Auditoria de SI

17/12/2013
CONCEPTOSBSICOSDE AUDITORADESISTEMAS
Ing.CIPGersonE.PrezGarca
ElActivo
Un activo es todo aquel elemento que compone el proceso de la comunicacin, partiendo desde la informacin, su emisor, el medio por el cual se transmite, hasta su receptor.
RECEPTOR INFORMACIN EMISOR

MEDIO
QuesunActivo?
Los activos son elementos que la seguridad de la informacin busca proteger. Los activos poseen valor para las empresas y como consecuencia de ello, necesitan recibir una proteccin adecuada para que sus negocios no sean perjudicados.
17/12/2013
ClasificacindelosActivos
Son tres elementos denominamos activos: que conforman lo que La informacin, Los Equipos que la soportan y, Las personas que los utilizan.
Los Activos, se clasificaran en:
A.Informacin B.Equiposquelasoportan:
B.1Software B.2Hardware B.3Organizacin
C.Personasquelosutilizanousuarios:
A.Informacin:
En este grupo estn los elementos que contienen informacin registrada, en medio electrnico o fsico, dentro de los ms importantes tenemos:
Documentos Informes Libros Manuales Correspondencias Patentes Informacin demercado Cdigodeprogramacin Lneasdecomando Reportes financieros Archivos deconfiguracin Planillasdesueldosde empleados
Plandenegociosdeunaempresa, etc.
B.1Software:
Este grupo de activos contiene todos los programas de computadora que se utilizan para la automatizacin de procesos, es decir, acceso, lectura, trnsito y almacenamiento de la informacin.
Entre ellos citamos: Lasaplicacionescomerciales Programasinstitucionales Sistemasoperativos Otros
17/12/2013
B.2Hardware:
Estos activos representan toda la infraestructura tecnolgica que brinda soporte a la informacin durante su uso, trnsito y almacenamiento. Losactivosquepertenecenaestegruposon:
Las computadoras Los servidores Los equipos porttiles Los mainframes Los medios de almacenamiento Los equipos de conectividad, enrutadores, switchs y cualquier otro elemento de una red de computadoras por donde transita la Ing.CIPGersonE.PrezGarca informacin.
B.3Organizacin:
En este grupo se incluyen los aspectos que componen la estructura fsica y organizativa de las empresas.
Comoejemplosdeestructuraorganizativa, tenemos:
La estructura departamental y funcional El cuadro de asignacin de funcionarios La distribucin de funciones y los flujos de informacin de la empresa
Enloqueserefierealambientefsico,se considerana:
Salasyarmariosdondeestnlocalizadoslosdocumentos, Fototeca,almacenes, Saladeservidoresdearchivos.
C.Usuarios:
El grupo usuarios se refiere a los individuos que utilizan la estructura tecnolgica y de comunicacin de la empresa y que manejan la informacin.
Ejemplos: Empleadosdelreadecontabilidad. Directivosdelaempresa.
17/12/2013
LasAmenazas
Las amenazas son agentes capaces de explotar los fallos de seguridad que denominamos puntos dbiles y, como consecuencia de ello, causar prdidas o daos a los activos de una empresa, afectando sus negocios. Los activos estn constantemente sometidos a amenazas que pueden colocar en riesgo la integridad, confidencialidad y disponibilidad de la informacin.
TiposdeAmenazas
1. Amenazas Naturales . condiciones de la naturaleza y la intemperie que podrn causar daos a los activos, tales como fuego, inundacin, terremotos. 2. Intencionales . son amenazas deliberadas, fraudes, vandalismo, sabotajes, espionaje, invasiones y ataques, robos y hurtos de informacin, entre otras. 3. Involuntarias son amenazas resultantes de acciones inconscientes de usuarios, por virus electrnicos, muchas veces causadas por la falta de conocimiento en el uso de los activos, tales como errores y accidentes.
Vulnerabilidad
Las vulnerabilidades son los elementos que, al ser explotados por amenazas, afectan la confidencialidad, disponibilidad e integridad de la informacin de un individuo o empresa.
17/12/2013
Clasificacindelas Vulnerabilidades
Fsicas Naturales DeHardware
Las Vulnerabilidades a las cuales los activos estn expuestos pueden ser:
DeSoftware DeMediosdeAlmacenaje DeComunicacin Humanas
VulnerabilidadesFsicas
Sonaquellospresentesenlosambientesenlos cualeslainformacinseest almacenandoo manejando. Ejemplos:
Instalaciones inadecuadas del espacio de trabajo, ausencia de recursos para el combate a incendios, disposicin desorganizada de cables de energa y de red, ausencia de identificacin de personas y de locales, entre otros.
VulnerabilidadesNaturales
Sonaquellosrelacionadosconlascondiciones delanaturalezaquepuedancolocarenriesgola informacin. Ejemplos:
Ambientes sin proteccin contra incendios, locales prximos a ros propensos a inundaciones, infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracanes etc.
17/12/2013
VulnerabilidadesdeHardware
Los posibles defectos en la fabricacin o configuracin de los equipos de la empresa que pudieran permitir el ataque o alteracin de los mismos. Ejemplos:
La ausencia de actualizaciones conforme con las orientaciones de los fabricantes de los programas que se utilizan Conservacin inadecuada de los equipos.
VulnerabilidadesdeHardware
La seguridad de la informacin busca evaluar: Sielhardwareutilizadoestdimensionado correctamenteparasusfunciones. Siposeereadealmacenamientosuficiente, procesamientoyvelocidadadecuados.
Ejemplo: La falta de configuracin de respaldos o equipos de contingencia pudiera representar una vulnerabilidad para los sistemas de la empresa.
VulnerabilidadesdeSoftware
Los puntos dbiles de aplicaciones permiten que ocurran accesos indebidos a sistemas informticos incluso sin el conocimiento de un usuario o administrador de red. Ejemplo:
La configuracin e instalacin indebidas de los programas de computadora, que podrn llevar al uso abusivo de los recursos por parte de usuarios mal intencionados.
17/12/2013
VulnerabilidadesdeSoftware
Ejemplos:
Aveceslalibertaddeusoimplicaelaumentodel riesgo. Los sistemas operativos como MS Windows y Unix , que ofrecen la interfaz para configuracin y organizacin de un ambiente tecnolgico. Estos son el blanco de ataques, pues a travs de los mismos se podrn realizar cualquier alteracin de la estructura de una computadora o red.
VulnerabilidadesdeMediosde Almacenaje
Si los soportes que almacenan informacin, no se utilizan de forma adecuada , el contenido en los mismos podr estar vulnerable a una serie de factores que podrn afectar la integridad, disponibilidad y confidencialidad de la informacin
VulnerabilidadesdeMediosde Almacenaje
Losmediosdealmacenamientopodrnserafectados porpuntosdbilesquepodrndaarloseincluso dejarlosindispuestos. Entreestospuntosdbiles,sedestacanlossiguientes:
Plazodevalidezycaducidad Defectodefabricacin Usoincorrecto Lugardealmacenamientoenlocalesinsalubresoconalto niveldehumedad,magnetismooesttica,moho,etc..
17/12/2013
VulnerabilidadesdeComunicacin
Abarcatodoeltrnsitodelainformacin. Dondeseaquelainformacintransite,yasea vacable,satlite,fibrapticauondasde radio,debeexistirseguridad.
El xito en el trnsito de los datos es un aspecto crucial en la implementacin de la seguridad de la informacin.
VulnerabilidadesdeComunicacin
La ausencia de sistemas de encriptacin en las comunicaciones que pudieran permitir que personas ajenas a la organizacin obtengan informacin privilegiada. La mala eleccin de sistemas de comunicacin para envo de mensajes de alta prioridad de la empresa pudiera provocar que no alcanzaran el destino esperado o bien se interceptara el mensaje en su trnsito.
VulnerabilidadesHumanas
Est relacionada con los daos que las personas pueden causar a la informacin y al ambiente tecnolgico que la soporta La mayor vulnerabilidad es el desconocimiento de las medidas de seguridad adecuadas para ser adoptadas por cada elemento constituyente, principalmente los miembros internos de la empresa.
17/12/2013
Puntos dbiles humanos por su grado de frecuencia: Lafaltadecapacitacinespecfica paralaejecucindelasactividades inherentesalasfuncionesdecada uno. Lafaltadeconcienciadeseguridad paralasactividadesderutina,los errores,omisiones,insatisfacciones etc.
Lasvulnerabilidadeshumanasdeorigenexterno: Todasaqullasquepuedanserexploradaspor amenazascomo:
Vandalismo, Estafas, Invasiones,etc.
Otrosejemplosdevulnerabilidadeshumanasen general:
Contraseasdbiles, Faltadeusodecriptografaenla comunicacin, Compartimientode identificadorestalescomo nombredeusuarioocredencial deacceso, Entreotros.
17/12/2013
ElRiesgo
Es el potencial de que una determinada amenaza explote las vulnerabilidades de un activo o grupo de activos, para producir la prdida o el dao a dichos activos.
RIESGO=Vulnerabilidad*Amenaza*ValordeInformacin FactordeExposicin=Vulnerabilidad*Amenaza
10

Conceptos Basicos de Auditoria de SI

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Conceptos Basicos de Auditoria de SI

Hochgeladen von

Copyright:

Verfügbare Formate

17/12/2013

RECEPTOR INFORMACIN EMISOR

Fsicas Naturales DeHardware

DeSoftware DeMediosdeAlmacenaje DeComunicacin Humanas

Das könnte Ihnen auch gefallen