Beruflich Dokumente
Kultur Dokumente
CONCEPTOSBSICOSDE AUDITORADESISTEMAS
Ing.CIPGersonE.PrezGarca
ElActivo
Un activo es todo aquel elemento que compone el proceso de la comunicacin, partiendo desde la informacin, su emisor, el medio por el cual se transmite, hasta su receptor.
MEDIO
QuesunActivo?
Los activos son elementos que la seguridad de la informacin busca proteger. Los activos poseen valor para las empresas y como consecuencia de ello, necesitan recibir una proteccin adecuada para que sus negocios no sean perjudicados.
Ing.CIPGersonE.PrezGarca
17/12/2013
ClasificacindelosActivos
Son tres elementos denominamos activos: que conforman lo que La informacin, Los Equipos que la soportan y, Las personas que los utilizan.
Los Activos, se clasificaran en:
A.Informacin B.Equiposquelasoportan:
B.1Software B.2Hardware B.3Organizacin
C.Personasquelosutilizanousuarios:
Ing.CIPGersonE.PrezGarca
A.Informacin:
En este grupo estn los elementos que contienen informacin registrada, en medio electrnico o fsico, dentro de los ms importantes tenemos:
Documentos Informes Libros Manuales Correspondencias Patentes Informacin demercado Cdigodeprogramacin Lneasdecomando Reportes financieros Archivos deconfiguracin Planillasdesueldosde empleados
Plandenegociosdeunaempresa, etc.
Ing.CIPGersonE.PrezGarca
B.1Software:
Este grupo de activos contiene todos los programas de computadora que se utilizan para la automatizacin de procesos, es decir, acceso, lectura, trnsito y almacenamiento de la informacin.
Entre ellos citamos: Lasaplicacionescomerciales Programasinstitucionales Sistemasoperativos Otros
Ing.CIPGersonE.PrezGarca
17/12/2013
B.2Hardware:
Estos activos representan toda la infraestructura tecnolgica que brinda soporte a la informacin durante su uso, trnsito y almacenamiento. Losactivosquepertenecenaestegruposon:
Las computadoras Los servidores Los equipos porttiles Los mainframes Los medios de almacenamiento Los equipos de conectividad, enrutadores, switchs y cualquier otro elemento de una red de computadoras por donde transita la Ing.CIPGersonE.PrezGarca informacin.
B.3Organizacin:
En este grupo se incluyen los aspectos que componen la estructura fsica y organizativa de las empresas.
Comoejemplosdeestructuraorganizativa, tenemos:
La estructura departamental y funcional El cuadro de asignacin de funcionarios La distribucin de funciones y los flujos de informacin de la empresa
Enloqueserefierealambientefsico,se considerana:
Salasyarmariosdondeestnlocalizadoslosdocumentos, Fototeca,almacenes, Saladeservidoresdearchivos.
Ing.CIPGersonE.PrezGarca
C.Usuarios:
El grupo usuarios se refiere a los individuos que utilizan la estructura tecnolgica y de comunicacin de la empresa y que manejan la informacin.
Ejemplos: Empleadosdelreadecontabilidad. Directivosdelaempresa.
Ing.CIPGersonE.PrezGarca
17/12/2013
LasAmenazas
Las amenazas son agentes capaces de explotar los fallos de seguridad que denominamos puntos dbiles y, como consecuencia de ello, causar prdidas o daos a los activos de una empresa, afectando sus negocios. Los activos estn constantemente sometidos a amenazas que pueden colocar en riesgo la integridad, confidencialidad y disponibilidad de la informacin.
Ing.CIPGersonE.PrezGarca
TiposdeAmenazas
1. Amenazas Naturales . condiciones de la naturaleza y la intemperie que podrn causar daos a los activos, tales como fuego, inundacin, terremotos. 2. Intencionales . son amenazas deliberadas, fraudes, vandalismo, sabotajes, espionaje, invasiones y ataques, robos y hurtos de informacin, entre otras. 3. Involuntarias son amenazas resultantes de acciones inconscientes de usuarios, por virus electrnicos, muchas veces causadas por la falta de conocimiento en el uso de los activos, tales como errores y accidentes.
Ing.CIPGersonE.PrezGarca
Vulnerabilidad
Las vulnerabilidades son los elementos que, al ser explotados por amenazas, afectan la confidencialidad, disponibilidad e integridad de la informacin de un individuo o empresa.
Ing.CIPGersonE.PrezGarca
17/12/2013
Clasificacindelas Vulnerabilidades
Las Vulnerabilidades a las cuales los activos estn expuestos pueden ser:
Ing.CIPGersonE.PrezGarca
VulnerabilidadesFsicas
Sonaquellospresentesenlosambientesenlos cualeslainformacinseest almacenandoo manejando. Ejemplos:
Instalaciones inadecuadas del espacio de trabajo, ausencia de recursos para el combate a incendios, disposicin desorganizada de cables de energa y de red, ausencia de identificacin de personas y de locales, entre otros.
Ing.CIPGersonE.PrezGarca
VulnerabilidadesNaturales
Sonaquellosrelacionadosconlascondiciones delanaturalezaquepuedancolocarenriesgola informacin. Ejemplos:
Ambientes sin proteccin contra incendios, locales prximos a ros propensos a inundaciones, infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracanes etc.
Ing.CIPGersonE.PrezGarca
17/12/2013
VulnerabilidadesdeHardware
Los posibles defectos en la fabricacin o configuracin de los equipos de la empresa que pudieran permitir el ataque o alteracin de los mismos. Ejemplos:
La ausencia de actualizaciones conforme con las orientaciones de los fabricantes de los programas que se utilizan Conservacin inadecuada de los equipos.
Ing.CIPGersonE.PrezGarca
VulnerabilidadesdeHardware
La seguridad de la informacin busca evaluar: Sielhardwareutilizadoestdimensionado correctamenteparasusfunciones. Siposeereadealmacenamientosuficiente, procesamientoyvelocidadadecuados.
Ejemplo: La falta de configuracin de respaldos o equipos de contingencia pudiera representar una vulnerabilidad para los sistemas de la empresa.
Ing.CIPGersonE.PrezGarca
VulnerabilidadesdeSoftware
Los puntos dbiles de aplicaciones permiten que ocurran accesos indebidos a sistemas informticos incluso sin el conocimiento de un usuario o administrador de red. Ejemplo:
La configuracin e instalacin indebidas de los programas de computadora, que podrn llevar al uso abusivo de los recursos por parte de usuarios mal intencionados.
Ing.CIPGersonE.PrezGarca
17/12/2013
VulnerabilidadesdeSoftware
Ejemplos:
Aveceslalibertaddeusoimplicaelaumentodel riesgo. Los sistemas operativos como MS Windows y Unix , que ofrecen la interfaz para configuracin y organizacin de un ambiente tecnolgico. Estos son el blanco de ataques, pues a travs de los mismos se podrn realizar cualquier alteracin de la estructura de una computadora o red.
Ing.CIPGersonE.PrezGarca
VulnerabilidadesdeMediosde Almacenaje
Si los soportes que almacenan informacin, no se utilizan de forma adecuada , el contenido en los mismos podr estar vulnerable a una serie de factores que podrn afectar la integridad, disponibilidad y confidencialidad de la informacin
Ing.CIPGersonE.PrezGarca
VulnerabilidadesdeMediosde Almacenaje
Losmediosdealmacenamientopodrnserafectados porpuntosdbilesquepodrndaarloseincluso dejarlosindispuestos. Entreestospuntosdbiles,sedestacanlossiguientes:
Plazodevalidezycaducidad Defectodefabricacin Usoincorrecto Lugardealmacenamientoenlocalesinsalubresoconalto niveldehumedad,magnetismooesttica,moho,etc..
Ing.CIPGersonE.PrezGarca
17/12/2013
VulnerabilidadesdeComunicacin
Abarcatodoeltrnsitodelainformacin. Dondeseaquelainformacintransite,yasea vacable,satlite,fibrapticauondasde radio,debeexistirseguridad.
El xito en el trnsito de los datos es un aspecto crucial en la implementacin de la seguridad de la informacin.
Ing.CIPGersonE.PrezGarca
VulnerabilidadesdeComunicacin
La ausencia de sistemas de encriptacin en las comunicaciones que pudieran permitir que personas ajenas a la organizacin obtengan informacin privilegiada. La mala eleccin de sistemas de comunicacin para envo de mensajes de alta prioridad de la empresa pudiera provocar que no alcanzaran el destino esperado o bien se interceptara el mensaje en su trnsito.
Ing.CIPGersonE.PrezGarca
VulnerabilidadesHumanas
Est relacionada con los daos que las personas pueden causar a la informacin y al ambiente tecnolgico que la soporta La mayor vulnerabilidad es el desconocimiento de las medidas de seguridad adecuadas para ser adoptadas por cada elemento constituyente, principalmente los miembros internos de la empresa.
Ing.CIPGersonE.PrezGarca
17/12/2013
VulnerabilidadesHumanas
Puntos dbiles humanos por su grado de frecuencia: Lafaltadecapacitacinespecfica paralaejecucindelasactividades inherentesalasfuncionesdecada uno. Lafaltadeconcienciadeseguridad paralasactividadesderutina,los errores,omisiones,insatisfacciones etc.
Ing.CIPGersonE.PrezGarca
VulnerabilidadesHumanas
Lasvulnerabilidadeshumanasdeorigenexterno: Todasaqullasquepuedanserexploradaspor amenazascomo:
Vandalismo, Estafas, Invasiones,etc.
Ing.CIPGersonE.PrezGarca
VulnerabilidadesHumanas
Otrosejemplosdevulnerabilidadeshumanasen general:
Contraseasdbiles, Faltadeusodecriptografaenla comunicacin, Compartimientode identificadorestalescomo nombredeusuarioocredencial deacceso, Entreotros.
Ing.CIPGersonE.PrezGarca
17/12/2013
ElRiesgo
Es el potencial de que una determinada amenaza explote las vulnerabilidades de un activo o grupo de activos, para producir la prdida o el dao a dichos activos.
RIESGO=Vulnerabilidad*Amenaza*ValordeInformacin FactordeExposicin=Vulnerabilidad*Amenaza
Ing.CIPGersonE.PrezGarca
10