Beruflich Dokumente
Kultur Dokumente
Estudiante:
Zaskya Yissellmitth Crdoba Delisser
8-711-2346
Profesor:
Roberto Elas Vergara Quintero
Charla # 1
Seguridad Informtica
Fecha De Entrega:
10 de julio de 2014
Introduccin
Auditora
La auditora normalmente es realizada en sistemas manuales despus del
hecho. Los auditores son llamados peridicamente para examinar las
transacciones recientes de una organizacin y para determinar si ha
ocurrido actividad fraudulenta.
El registro de auditoria es un registro permanente de acontecimientos de
importancia que ocurren en el sistema de computacin. Se produce
automticamente cada vez que ocurren los eventos y es almacenado en un
rea protegida del sistema.
Las auditorias peridicas prestan atencin regularmente a problemas de
seguridad; las auditoras al azar ayudan a detectar intrusos.
Controles de acceso
Los derechos de acceso definen qu acceso tienen los usuarios sobre los
objetos. Los objetos son entidades que contienen informacin, pueden ser
fsicos o abstractos. Los sujetos acceden a los objetos, y pueden ser
usuarios, procesos, programas u otras entidades.
Los derechos de accesos ms comunes son: acceso de lectura, acceso de
escritura y acceso de ejecucin. Estos derechos pueden implementarse
usando una matriz de control de acceso.
Matriz de acceso
Objeto
Dominio
F1
F2
F3
Lector de
tarjeta
Impresora
Read
D1
Read
Read
D2
D3
D4
Read
Read Write
Execute
Read write
Polticas
El esquema de matriz de acceso provee el mecanismo para especificar una
variedad de polticas. Se debe asegurar que un proceso que se ejecuta en el
dominio D puede acceder slo a aquellos objetos especificados en la fila D.
Las decisiones de poltica concernientes a la proteccin pueden
implementarse por la matriz de acceso. Las decisiones polticas definen qu
derechos deben estar incluidos en las entradas. A veces decide el dominio
de cada proceso ejecutable. Esta ltima poltica es generalmente decidida
por el sistema operativo.
Los usuarios normalmente deciden el contenido de las entradas de la matriz
de acceso. Cuando un usuario crea un nuevo objeto F, la columna F es
agregada a la matriz de acceso con las entradas de inicializacin
apropiadas.
Criptografa
La criptografa es usada para la transformacin de datos para hacerlos
incomprensibles para todos, excepto para el usuario destinatario. El
problema de la privacidad tiene relacin con la prevencin de la no
autorizacin para la extraccin de informacin desde un canal de
comunicacin. Los problemas de autentificacin estn relacionados con la
prevencin contra intrusos que intentan modificar una transmisin o
insertar falsos datos dentro de una transmisin. Los problemas de disputa
Cesar
Est tcnica consista simplemente en sustituir una letra por la situada tres
lugares ms all en el alfabeto esto es la A se transformaba en D, la B en E
y as sucesivamente hasta que la Z se converta en C.
Rumsfeld
RSA
DES
DES fue desarrollado por IBM a mediados de los setenta. Aunque tiene un
buen diseo, su tamao de clave de 56 bits es demasiado pequeo para los
patrones de hoy.
DES (Data Encryption Standard) es un mecanismo de encriptacin de datos
de uso generalizado. Hay muchas implementaciones de hardware y software
de DES. Este transforma la informacin de texto llano en datos encriptados
llamados texto cifrado mediante el uso de un algoritmo especial y valor
semilla llamado clave. Si el receptor conoce la clave, podr utilizarla para
convertir el texto cifrado en los datos originales. Es un mecanismo de
encriptado simtrico.
SKIPJACK
BFIDO
WLBYKYAAOTB
Cifrado exponencial
Blowfish
Uso de la Computadora
Sistema de Acceso
Personal
Se debe observar este punto con mucho cuidado, ya que hablamos de
las personas que estn ligadas al sistema de informacin de forma
directa y se deber contemplar principalmente:
Medios de Control
Se debe contemplar la existencia de medios de control para conocer
cuando se produce un cambio o un fraude en el sistema.
Tambin se debe observar con detalle el sistema ya que podra
generar indicadores que pueden actuar como elementos de auditora
inmediata, aunque esta no sea una especificacin del sistema.
Rasgos del Personal
Se debe ver muy cuidadosamente el carcter del personal
relacionado con el sistema, ya que pueden surgir:
Instalaciones
Es muy importante no olvidar las instalaciones fsicas y de servicios,
que significan un alto grado de riesgo. Para lo cual se debe verificar:
Control de Residuos
Observar como se maneja la basura de los departamentos de mayor
importancia, donde se almacena y quien la maneja.
Riesgo Computacional
Se debe evaluar las aplicaciones y la dependencia del sistema de
informacin, para lo cual es importante considerar responder las
siguientes cuatro preguntas:
Higiene
Otro aspecto que parece de menor importancia es el de orden e
higiene, que debe observarse con mucho cuidado en las reas
involucradas de la organizacin (centro de cmputo y dems
dependencias), pues esto ayudar a detectar problemas de disciplina
y posibles fallas en la seguridad.
Tambin podemos ver que la higiene y el orden son factores que
elevan la moral del recurso humano, evita la acumulacin de
desperdicios y limita las posibilidades de accidentes. (ejm. del
rastrillo)
Adems es un factor que puede perjudicar el desarrollo del trabajo
tanto a nivel formal como informal.
Cultura Personal
Cuando hablamos de informacin, su riesgo y su seguridad, siempre
se debe considerar al elemento humano, ya que podra definir la
existencia o no de los ms altos grados de riesgo. Por lo cual es muy
importante considerar la idiosincrasia del personal, al menos de los
cargos de mayor dependencia o riesgo.
Consideraciones para Elaborar un Sistema de Seguridad
Integral
Como hablamos de realizar la evaluacin de la seguridad es
importante tambin conocer como desarrollar y ejecutar el implantar
un sistema de seguridad.
Desarrollar un sistema de seguridad significa: "planear, organizar
coordinar dirigir y controlar las actividades relacionadas a mantener y
garantizar la integridad fsica de los recursos implicados en la funcin
informtica, as como el resguardo de los activos de la empresa."
Por lo cual podemos ver las consideraciones de un sistema de integral
de seguridad.
Sistema Integral de Seguridad
Un sistema integral debe contemplar:
Hardware y software
Flujo de energa
Cableados locales y externos
Aplicacin de los sistemas de seguridad incluyendo datos y
archivos
Planificacin de los papeles de los auditores internos y externos
Planificacin de programas de desastre y sus pruebas
(simulacin)
Planificacin de equipos de contingencia con carcter peridico
Control de desechos de los nodos importantes del sistema:
o Poltica de destruccin de basura copias, fotocopias, etc.
o Consideracin de las normas ISO 14000
Asumir riesgos
Cumplir promesas
Innovar
Aumento de la productividad.
Conclusin
Cuando se ha definido el grado de riesgo se debe elaborar una lista
de los sistemas con las medidas preventivas que se deben tomar y las
correctivas en casi de desastre, sealando la prioridad de cada uno.
Con el objetivo que en caso de desastres se trabajen los sistemas de
acuerdo a sus prioridades.
El fin de este punto es encontrar y evitar posibles situaciones de roce
entre el recurso humano y la organizacin y lograr una mejor
comunicacin entre ambos.