Taller 6, 7 y 8
-
Upload
josemendoza -
Category
Documents
-
view
220 -
download
2
description
Transcript of Taller 6, 7 y 8
-
TALLER N 6
1. Que son los controles para la seguridad general y para qu sirven
Son aquellos que aplican a todos los tipos de software y recursos relacionados.
Estos controles sirven para:
El control de acceso a programas y a la informacin
Vigilar los cambios realizados
Las bitcoras de auditoria
Control de Acceso a programas y datos. (Se refiere a la manera en que cada
software del sistema tiene acceso a los datos, programas y funciones. Son
usualmente a travs del ID y password para identificar a los usuarios no
autorizados y para controlar el acceso inicial al software.
Cambios realizados (Deben ser probados y revisados para ser autorizados y
una vez autorizados se asignan a los programas de aplicacin y datos.
2. Dentro del contexto de los riesgos y controles a auditar que
procedimientos se recomiendan para los cambios realizados
Diseo y cdigo de modificaciones
Coordinacin con otros cambios
Asignacin de responsabilidades
Revisin de estndares y aprobacin
Requerimientos mnimos de prueba
Procedimientos del respaldo en el evento de interrupcin.
-
3. Que son las bitcoras de auditoras
Es aquella usada para registrar cambios en el software antes de la
implementacin. Son usadas para monitorear los accesos permitidos y negados.
Generalmente est relacionada con el sistema operativo o con el software de
control de acceso. Registran las actividades y opcionalmente muestran el
registro de los cambios hechos en el archivo o programa. Son importantes para
el seguimiento de los cambios.
4. Qu tipo de controles utilizan los controles de software especficos
El acceso al sistema debe ser restringido para individuos no autorizados.
Se debe controlar el acceso a los procesos y a las aplicaciones permitiendo
a los usuarios autorizados ejecutar sus obligaciones asignadas y evitando
que personas no autorizadas logren el acceso.
Las tablas de acceso o descripciones debern ser establecidas de manera
que se restrinja a los usuarios ejecutar funciones incompatibles o ms all de
sus responsabilidades.
Se deber contar con procedimientos para que los programadores de
aplicaciones tengan prohibido realizar cambios no autorizados a los
programas.
Se limitara tanto a usuarios como a programadores de aplicaciones aun tipo
especfico de acceso de datos ( por ejemplo: lectura y modificaciones)
Las bitcoras de auditoria debern ser protegidas de modificaciones no
autorizadas.
Software de sistemas operativos
Software manejador de base de datos
Software de consolas o terminales maestras
Softwares de libreras
Softwares de utileras
Software de telecomunicaciones
-
5. Que es encriptamiento
Es la transformacin de los datos a una forma que no sea posible leerla por cualquier
persona, a menos que cuente con la llave de desencriptacion. Su propsito es
asegurar la privacidad y mantener la informacin alejada de personal no autorizado,
aun de aquellos que la puedan ver en forma encriptada.
6. Que es seguridad en el personal
Es aquella seguridad que busca evaluar la integridad, estabilidad y lealtad del
personal, realizando exmenes psicolgicos y mdicos, teniendo en cuenta sus
antecedentes de trabajo
7. Que es seguridad fsica
Esta seguridad busca establecer polticas, procedimientos y prcticas para evitar
interrupciones prolongadas del servicio de procesamiento de informacin debido a
contingencias como incendio, inundacin, huelgas, disturbios, sabotaje, terremotos,
huracanes etc. Y continuar en un medio de emergencia hasta que sea restaurado
el servicio completo.
8. Cul es la seguridad en contra de virus
Son aquellas medidas que se deben realizar para evitar que los virus se
diseminen por todo el sistema computarizado o por las redes.
-
9. Cules son los daos que producen los virus
Los daos ms comunes son:
Suplantacin de datos
Eliminacin aleatoria
Destruccin de la produccin
Modificacin de los cdigos de proteccin
Bloqueo de redes
Cambios de informacin entre usuarios
Por medio de un canal encubierto, cambiar, acusar o difundir claves de
seguridad
Modificacin de informacin de salida o de pantallas
Saturacin, reduccin de disponibilidad o cambio de parmetros
Combinacin de los anteriores.
10. Que se debe hacer para evitar que los virus se diseminen por el sistema
computarizado o por las redes
Utilizar paquetes y programas originales
Limitar la utilizacin en comn. Solo permitir el acceso a la parte del sistema o del
programa autorizado para cada usuario.
Limitar el trnsito. Evitar que todos los usuarios puedan navegar por todos los
sistemas. Restringir el trnsito entre usuarios o entre sistemas (lo cual es difcil y va
en muchos casos en contra de la filosfica de uso de la informacin y de la
comunicacin.
Limitar la programacin y controlarla adecuadamente.
-
11. Que son las protecciones contra virus y elementos a auditar (237)
Son aquellos procedimientos que buscan la defensa contra la introduccin de
algn virus, y en caso de que se infecten las computadoras, tener un adecuado
procedimiento para desinfectarlas, evaluando y auditando que todos los paquetes
que se utilicen sern originales.
12. Que es la seguridad en la utilizacin de los equipos y qu medidas se
deben tomar (247)
Son aquellas medidas y procedimientos a tener en cuanta al momento de utilizar los
equipos, para prevenir el deterioro a los sistemas. Se debe tener en cuenta las
siguientes medidas:
1. Se debe restringir el acceso a los programas y a los archivos.
2. Los operadores deben trabajar con poca supervisin y sin la
participacin de los programadores y no deben modificar los
programas ni los archivos.
3. Se debe asegurar en todo momento que los datos y archivos usados
son los adecuados, procurando no usar respaldos inadecuados.
4. No debe permitirse la entrada a la red a personas no autorizadas, ni a
usar las terminales.
5. En los casos de informacin confidencial, esta debe usarse, de ser
posible, en forma codificada o criptografiada.
6. Se debe realizar peridicamente una verificacin fsica del uso de
terminales y de los reportes obtenidos.
7. Se debe monitorear peridicamente el uso que se les est dando a las
terminales.
8. Se deben hacer auditorias peridicas sobre el rea de operacin y la
utilizacin de las terminales
9. El usuario es el responsable de los datos, por lo que debe asegurarse
que los datos recolectados sean procesados completamente.
-
10. Debe existir una perfecta divisin de responsabilidades entre los
capturistas de datos y los operadores de computadora, y entre los
operadores y las personas responsables de las libreras.
11. Deben existir registros que reflejen la transferencia de informacin
entre las diferentes funciones de un sistema.
12. Debe controlarse la distribucin de las salidas (reportes, cintas, etc.)
13. Se deben guardar copias de los archivos y programas en lugares
ajenos al centro de cmputo y en las instalaciones de alta seguridad.
14. Se debe tener un estricto control sobre el transporte de discos y cintas
de la sal de cmputo al local de almacenaje distante.
15. Se deben identificar y controlar perfectamente los archivos.
16. Se debe tener estricto control sobre el acceso fsico a los archivos.
17. En el caso de programas, se debe asignar a cada uno de ellos una
clave que identifique el sistema, subsistema, programa y versin.
13. Que es la seguridad al restaurar el equipo
Son aquellos procedimientos en caso de una posible falla o siniestro que
pueda sufrir los sistemas de computadoras.
14. Cules son las acciones de recuperacin disponible a nivel operativo
En algunos casos es conveniente no realizar ninguna accin y reanudar el
proceso:
o Mediante copias peridicas de los archivos se puede reanudar un
proceso a partir de una fecha determinada.
o El procesamiento anterior complementado con un registro de las
transacciones que afectaron los archivos permitir retroceder los
movimientos realizados a un archivo al punto de tener la seguridad del
contenido del mismo y a partir de este reanudar el proceso.
-
o Analizar el flujo de datos y procedimientos y cambiar el proceso normal
por un proceso alterno de emergencia.
Reconfigurar los recursos disponibles, tanto de equipo y sistemas como de
comunicaciones:
o Cualquier procedimiento que se determine que es el adecuado para
un caso de emergencia deber ser planeado y probado previamente.
15. Como pueden clasificarse los desastres en el centro de computo
Destruccin completa del centro de computo
Destruccin parcial del centro de computo
Destruccin o mal funcionamiento de los equipos auxiliares del centro de
cmputo (electricidad, aire acondicionado, etc.)
Destruccin parcial o total de los equipos descentralizados
Prdida total o parcial de informacin, manuales o documentacin
Perdida de personal clave
Huelga o problemas laborales.
16. Cules son los elementos del plan de contingencia.
Anlisis del impacto en la organizacin
Seleccin de la estrategia
Preparacin del plan
Prueba
Mantenimiento.
-
UNIDAD 7. Seguridad operacional en el rea de informtica
1. Cules son los objetivos de la seguridad en el rea de informtica
Proteger la integridad, exactitud y confidencialidad de la informacin.
Proteger los activos antes desastre provocados por la mano del hombre y de
actos hostiles.
Proteger a la organizacin contra situaciones externas como desastres
naturales y sabotajes
En caso de desastre, contar con los planes y polticas de contingencias para
lograr una pronta recuperacin.
Contar con los seguros necesarios que cubran las prdidas econmicas en
caso de desastre.
2. Qu consecuencias tiene la falta de seguridad lgica o su violacin
dentro de la organizacin
Cambio de los datos antes o cuando se le da entrada a la computadora.
Copias de programas y/o informacin
Cdigo oculto en un programa
Entrada de virus.
3. Describa el plan de contingencia y procedimientos en caso de desastres
en el rea de informtica
El plan de contingencia es definido como: la identificacin de los procesos
crticos de la organizacin y los recursos requeridos para mantener un aceptable
nivel de transacciones y de ejecucin, protegiendo estos recursos y preparando
procedimientos para asegurar la sobrevivencia de la organizacin en caso de
desastre.
-
4. Dentro de las contingencias, como se clasifican los desastres
Destruccin completa del centro de computo
Destruccin parcial del centro de computo
Destruccin o mal funcionamiento de los equipos auxiliares del centro
de cmputo (electricidad, aire acondicionado, etc.)
Destruccin parcial o total de los equipos descentralizados
Prdida total o parcial de informacin, manuales o documentacin
Perdida de personal clave
Huelga o problemas laborales.
5. Cules son los objetivo de un plan de contingencia
Minimizar el impacto del desastre en la organizacin
Establecer tareas para evaluar los procesos indispensables de la
organizacin
Evaluar los procesos de la organizacin, con el apoyo y autorizacin
respectivos a travs de una buena metodologa.
Determinar el costo del plan de recuperacin, incluyendo la capacitacin y la
organizacin para restablecer los procesos crticos de la organizacin
cuando ocurra una interrupcin de las operaciones.
6. Que debe contemplar un plan de contingencia
La naturaleza, la extensin y la complejidad de las actividades de la
organizacin.
El grado de riesgo al que la organizacin est expuesto
El tamao de las instalaciones de la organizacin (centros de cmputo y
nmero de usuarios)
La evaluacin de los procesos considerados como crticos
El nmero de procesos crticos
La formulacin de las medidas de seguridad necesarias dependiendo del
nivel de seguridad requerido
-
La justificacin del costo de implantar las medidas de seguridad.
7. Que se debe hacer para evaluar una instalacin en trminos de riesgo
Clasificar los datos, la informacin y los programas que contengan
informacin confidencial de alto valor dentro del mercado de competencia de
una organizacin, as como la informacin que sea de difcil recuperacin.
Identificar aquella informacin que tenga un gran costo financiero en caso de
prdida o bien que pueda provocar un gran impacto en la toma de decisiones
Determinar la informacin que pueda representar una gran prdida en la
organizacin y, consecuentemente, provocar incluso la posibilidad de que no
se pueda sobrevivir sin esa informacin.
8. Que mtodos existen para evaluar los procesos crticos en una
organizacin
Todos los procesos crticos. Con este mtodo, la decisin es tomada por
todos los departamentos y se parte de que todas las funciones de cada
departamento son crticas. Por lo general, se elimina uno o dos
departamentos, pero casi todo es clasificado como crtico. Si se elige este
mtodo, se deben enlistar todas las funciones de cada departamento, Este
mtodo no es recomendable porque elaborar el plan de contingencias
requerir de mucho tiempo. Seria costoso y llevara tiempo respaldar todas
las funciones en todos los departamentos.
Mandatos de los gerentes. Este mtodo asume que los gerentes conocen los
elementos crticos para mantener un aceptable nivel en la organizacin. La
identificacin de funciones crticas es hecha en base a la intuicin de los
gerentes. El beneficio de este mtodo es el tiempo que se ahorra durante la
fase inicial. Lo peligroso es que est basado en una intuicin y este no es un
anlisis riguroso.
Anlisis de riesgos financieros. Consiste en la determinacin de perdidas
financieras por cada funcin y proceso de la organizacin Esto se obtiene por
-
la determinacin de la probabilidad de un desastre y la prdida anual. Es
comparado con el nivel de perdida financiera aceptable para la organizacin.
Son crticos aquellos procesos de los que se esperan grandes prdidas. Sin
embargo, no se puede determinar exactamente el riesgo.
Anlisis del impacto en la organizacin. La metodologa del plan de
contingencias se basa en la tcnica de anlisis de impacto en la organizacin.
Para ello se distribuyen cuestionarios pares todos los departamentos de la
organizacin. Los cuestionarios para todos los departamentos de la
organizacin. Los cuestionarios completos y la informacin obtenida durante
las entrevistas definen los criterios para determinar los procesos crticos. Este
mtodo tal vez tome ms tiempo inicialmente que el de todos los procesos
son crticos. Sin embargo, disminuye considerablemente el tiempo y el
dinero cuando se desarrolla el plan de recuperacin.
9. A fin de contar con servicios de respaldos adecuados y reducir al
mnimo las restricciones de proceso que consideraciones se debe
tomar en cuenta
Mnimo de memoria principal requerida y el equipo perifrico que permita
procesar las aplicaciones esenciales
Se debe tener documentados los cambios de software
En caso de respaldo en otras instituciones, previamente se deber conocer
el tiempo de computadora disponible.
10. Qu puntos se deben incluir en el acuerdo de soporte reciproco
Configuracin de equipos
Configuracin de equipo de captacin de datos
Sistemas operativos
Configuracin de equipos perifricos.
-
UNIDAD 8. Seguridad fsica en el rea de informtica
1. Que es seguridad Fsica
Es la seguridad que establece polticas, procedimientos y prcticas para
evitar las interrupciones prolongadas del servicio de procesamiento de
informacin, debido a contingencias como incendio, inundacin, huelgas,
disturbios, sabotaje, terremotos, huracanes, etc., y continuar en un medio de
emergencia hasta que sea restaurado el servicio completo.
2. Un centro de cmputo debe prever espacio para lo siguiente
Almacenamiento de equipos magnticos
Formatos y papel para impresora
Mesas de trabajo y muebles
rea y mobiliario para mantenimiento
Equipo de telecomunicaciones
rea de programacin
Consolas del operador
rea de recepcin
Microcomputadoras
Fuentes de poder
Bveda de seguridad: Los archivos maestros y/o registros debern ser
guardados en una bveda anti incendio bajo mxima proteccin.
3. Mencione las condiciones que debe poseer el piso
El acabado del piso debe ser hecho con plstico antiesttico
La superficie del puso elevado debe tener 45cm de alto, cunado es usado
como cmara plena de aire acondicionado.
La altura del plafn, desde el piso falso terminado, debe ser de 2.4m.
-
Los paneles del piso elevado deben poder ser removidos fcilmente para
permitir la instalacin del cableado del sistema y ser de fcil limpieza con
trapo hmedo o aspiradora.
4. Qu condiciones debe poseer el aire acondicionado
Se recomienda verificar con el proveedor la temperatura mnima y mxima,
as como la humedad relativa en la que debern trabajar los equipos.
Los ductos de aire acondicionado deben estar limpios, ya que son una de las
principales causas de polvo.
Se deben instalar redes de proteccin en todo el sistema de ductos, tanto
exteriores como internos y deber de contarse con detectores de humo que
indiquen la posible presencia de fuego.
Se recomienda que la presin de aire en la sala de cmputo sea ligeramente
superior a la de las reas adyacentes, para reducir as la entrada de polvo y
suciedad.
5. Qu condiciones debe tener la instalacin elctrica y el suministro de
energa
Los cables del sistema elctrico deben estar perfectamente identificados
(positivos, negativos y tierra fsica, lo ms frecuentes es identificarlos por
colores (positivo, rojo).
Se debe contar con los planos de instalacin elctrica debidamente
actualizados.
Es altamente recomendado que el sistema elctrico utilizado en los equipos
de informtica cuente con tierra fsica, y de ser posibles sistemas de corriente
continua (no-break) y estn asilados con contactos independientes y
perfectamente identificados.
-
Se debe contar con una proteccin contra roedores o fauna nociva en los
cables del sistema elctrico y comunicaciones.
Se debe verificar y controlar que el nmero de equipos conectados sean
acordes con las cargas y especificaciones de los reguladores.
6. Que seguridad se debe tener contra los desastres provocados por agua
Se debe instalar detectores de agua o inundacin, as como bombas de
emergencia para resolver inundaciones inesperadas.
Poseer aspersores contra incendio especiales que no sean de agua.
Colocar el centro de cmputo en reas donde el riesgo de inundacin no
sea evidente.
7. Cul es la seguridad que se debe tener en cuanto al control de acceso
Es importante asegurarse que los controles de acceso sean estrictos durante
todo el da, uy que estos incluyan a todo el personal de la organizacin, en especial
los descansos y cambios de turno, es por esto que solamente el personal autorizado
por medio de una llave de acceso o por la gerencia debe ingresar a dichas
instalaciones. Se pueden usar los siguientes recursos:
Puerta con cerradura
Puerta de combinacin
Puerta electrnica
Puertas sensoriales
Registros de entrada.
Videocmaras.
Escolta controladora para el acceso de visitantes
Puertas dobles
Alarmas
-
8. Que condiciones de seguridad se debe tener en cuanto a temperatura y
humedad
Algunos equipos de cmputo necesitan de un sistema de aire
acondicionado diseado para estar en operacin constante, con base a
los siguientes parmetros:
o Disipacin Trmica(BTU)
o Movimientos de aire (CFM)
o Perdidas por trasferencia de calor.
Los cambios de temperatura durante la operacin del computador deben
ser disminuidos. La variacin cclica de temperatura sobre el rango
completo de operacin no debe realizarse en menos de ochos horas.
La disipacin termina, el movimiento de aire, as como los mnimos y
mximos de temperatura y humedad permitidos deben ser especificados
por el proveedor del equipo, aunque la temperatura ideal recomendada
es de 22C.
Se Recomienda que se instalen instrumentos registradores de
temperatura y humedad. Dichos instrumentos son necesarios para
proveer un continuo registro de las condiciones ambientales en el rea
del equipo.
9. Que elementos debe tener un plan de contingencia
1. Anlisis del impacto en la organizacin
2. Seleccin de la estrategia
3. Preparacin del plan
4. Prueba
5. Mantenimiento.
10. Que debe incluir el plan en caso de desastres
La documentacin de programacin y de operacin
-
Los equipos
El equipo completo
El ambiente de los equipos
Datos, archivos, papelera, equipo y accesorios
Sistemas (sistemas operativos, bases de datos, programas de utilera,
programas).
11. Que fuentes deben estar accesibles en los centros de procesamiento
de datos (CPD)
Las fuentes accesibles en todo centro de proceso de datos son:
Polticas, normas y planes sobre seguridad emitidos y distribuidos tanto por
la direccin de la empresa en trminos generales como por el departamento
de seguridad siguiendo un enfoque ms detallado.
Auditorias anteriores, generales y parciales, referentes a la seguridad fsica
o a cualquier otro tipo de auditoria que, de una u otra manera est
relacionado con la seguridad fsica.
Contratos de seguros de proveedores y de mantenimiento
Entrevistas con el personal de seguridad, personal informtico y de otras
actividades, responsables de seguridad de otras empresas dentro del edificio
y de la seguridad general del mismo, personal contratado para la limpieza y
mantenimiento de locales, etc.
Actas e informes de tcnicos y consultores. Peritos que diagnostiquen el
estado fsico del edificio, electricistas, fontaneros, tcnicos del aire
acondicionado, especialistas en electrnica que informen sobre la calidad y
estado de operatividad de los sistemas de seguridad y alarma, agencias de
seguridad que proporcionan a los vigilantes jurados, bomberos, etc.
Plan de contingencia y valoracin de las pruebas.
Informes sobre accesos y visitas. Existencias de un sistema de control de
entradas y salidas diferenciando entre reas perimetrales, interna y
-
restringida. Informes sobre pruebas de evacuacin antes diferentes tipos de
amenaza, informes sobre evacuaciones reales.
Polticas de personal. Revisin de antecedentes personales y laborales,
procedimientos de cancelacin de contratos y despidos, rotacin en el
trabajo, planificacin y distribucin de tareas, contratos fijos y temporales.
Inventarios de Soportes (papel y magnticos): cintoteca, back-up,
procedimientos de archivo, controles de salida y recuperacin de soportes,
control de copias, etc.
12. Mencione las fases de la auditora fsica
Fase 1: Alcance de la Auditoria
Fase 2: Adquisicin de Informacin General
Fase 3: Administracin y Planificacin
Fase 4: Plan de Auditoria
Fase 5: Resultado de las Pruebas
Fase 6: Conclusiones y Comentarios
Fase 7: Borrador del Informe
Fase 8: Discusin con los Responsables de rea
Fase 9: Informe Final.
13. Que tcnicas cree son las ms adecuadas en la auditora fsica.
Observacin de las instalaciones, sistemas, cumplimiento de normas y
procedimientos, etc. No solo como espectador sino tambin como actor,
comprobando por s mismo el perfecto funcionamiento y utilizacin de los
conceptos anteriores
-
Revisin analstica de:
Documentacin sobre construccin y preinstalaciones
Documentacin sobre seguridad fsica
Polticas y Normas de Actividad de Sala
Normas y Procedimientos sobre seguridad fsica de los datos
Contratos de seguros y de Mantenimiento
Entrevistas con directivos y personal, fijo o temporal, que no de la sensacin
de interrogatorio para vencer el natural recelo que el auditor suele despertar
en los empleados.
Consultas a tcnicos y peritos que formen parte de la plantilla o
independientes contratados.