viernes, 16 de julio de 2010

UNIDAD 5 AUDITORIA DE LA SEGURIDAD EN LA TELEINFORMATICA

5.1 GENERALIDADES DE LA SEGURIDAD EN EL AREA DE LA TELEINFORMATICA
En la actualidad tiene una gran trascendencia tanto técnica como social, lo que se denomina teleinformática: la unión de la informática y las telecomunicaciones. Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso de expresiones y conceptos relacionados con la teleinformática.
Las técnicas de comunicación se estructuran en niveles: físico, enlace de datos, red, transporte, sesión, presentación y aplicación.
En una comunicación se transmite información desde una persona a otra e intervienen tres elementos: el emisor, que da origen a la información, el medio, que permite la transmisión, y el receptor, que recibe la información.
La primera comunicación que existió entre los hombres fue a base de signos o gestos que expresaban intuitivamente determinadas manifestaciones con sentido propio. Estos gestos iban acompañados de sonidos.
Posteriormente, comenzó la comunicación hablada a través de un determinado lenguaje, en el cuál cada palabra significaba algo y cada frase tenía un contenido informativo.
Más tarde, el hombre tuvo necesidad de realizar comunicaciones a distancia como por ejemplo, entre personas de dos aldeas situadas a cierta distancia pero con visibilidad entre ambas, o bien entre un barco y la costa. Es aquí donde aparecen las señales de humo, destellos con espejos entre innumerables métodos de comunicación.
Con el paso del tiempo y la evolución tecnológica, la comunicación a distancia comenzó a ser cada vez más importante.
La primera técnica utilizada surgió con la aparición del telégrafo y el código morse que permitieron comunicaciones a través de cables a unas distancias considerables. Posteriormente se desarrolló la técnica que dio origen al teléfono para la comunicación directa de la voz a larga distancia. Más tarde la radio y la transmisión de imágenes a través de la televisión habilitaron un gran número de técnicas y métodos que luego fueron muy importantes a lo que respecta a la comunicación.

5.2 OBJETIVOS Y CRITERIOS DE LA AUDITORIA EN EL AREA DE LA TELEINFORMATICA

Así ante la continua aparición de nuevas herramientas de gestión, la auditoría interna se ve compelida a velar entre otras cosas por la aplicación y buen uso de las mismas. Ello ciertamente implica un muy fuerte compromiso. Dijimos antes que la auditoría debía velar no sólo por los activos de la empresa sino además por su capacidad competitiva. Cuidar de esto último significa difundir, apoyar y controlar las nuevas y buenas prácticas. Así, haciendo uso del benchmarkingpuede verificar y promover las mejores prácticas para el mantenimiento de la más alta competitividad. Ser competitivo es continuar en la lucha por la subsistencia o continuidad de la empresa.
Como brillantemente lo expresa Fernando Gaziano (Deloitte Chile), "los auditores y los astrónomos compartimos plenamente una idea: el universo se expande. Así como después del "big bang" un universo de planetas y estrellas comenzó y continúa expandiéndose, de la misma forma el mundo del Auditor Interno es cada vez más amplio. Como nunca, probablemente hoy se enfrenta a uno de los cambios más importantes en su profesión, debiendo abordar aspectos relacionados con el Gobierno Corporativo y los nuevos riesgos a los que se enfrentan las organizaciones.

5.3 SINTOMAS DE RIESGO

La Auditoría de la Seguridad
Para muchos la seguridad sigue siendo el área principal a auditar, hasta el punto de que en algunas entidades se creó inicialmente la función de auditoría informática para revisar la seguridad, aunque después se hayan ido ampliando los objetivos. Cada día es mayor la importancia de la información, especialmente relacionada con sistemas basados en el uso de tecnología de información y comunicaciones, por lo que el impacto de las fallas, los accesos no autorizados, la revelación de la información, entre otros problemas, tienen un impacto mucho mayor que hace algunos años.
En la auditoría de otras áreas pueden también surgir revisiones solapadas con la seguridad; así a la hora de revisar el desarrollo se verá si se realiza en un entorno seguro, etc.
*Los controles directivos. Son los fundamentos de la seguridad: políticas, planes, funciones, objetivos de control, presupuesto, así como si existen sistemas y métodos de evaluación periódica de riesgos.

*El desarrollo de las políticas. Procedimientos, posibles estándares, normas y guías.
*Amenazas físicas externas. Inundaciones, incendios, explosiones, corte de líneas o suministros, terremotos, terrorismo, huelgas, etc., se considera: la ubicación del centro de procesos, de los servidores, PCs, computadoras portátiles (incluso fuera de las oficinas); estructura, diseño, construcción y distribución de edificios; amenazas de fuego, riesgos por agua, por accidentes atmosféricos; contenido en paquetes }, bolsos o carteras que se introducen o salen de los edificios; visitas, clientes, proveedores, contratados; protección de los soportes magnéticos en cuanto a acceso, almacenamiento y transporte.

*Control de accesos adecuado. Tanto físicos como lógicos, que se realicen sólo las operaciones permitidas al usuario: lectura, variación, ejecución, borrado y copia, y quedando las pistas necesarias para el control y la auditoría. Uso de contraseñas, cifrado de las mismas, situaciones de bloqueo.
*Protección de datos. Origen del dato, proceso, salida de los datos.

*Comunicaciones y redes. Topología y tipo de comunicaciones, posible uso de cifrado, protecciones ante virus. Tipos de transacciones. Protección de conversaciones de voz en caso necesario, protección de transmisiones por fax para contenidos clasificados. Internet e Intranet, correo electrónico, control sobre páginas web, así como el comercio electrónico.
*El entorno de producción. Cumplimiento de contratos, outsourcing.
*El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que éstos resulten auditables. Con el uso de licencias (de los programas utilizados).
*La continuidad de las operaciones. Planes de contingencia o de Continuidad.
No se trata de áreas no relacionadas, sino que casi todas tienen puntos de enlace comunes: comunicaciones con control de accesos, cifrado con comunicaciones, etc.
Evaluación de riesgos

Se trata de identificar riesgos, cuantificar su probabilidad e impacto y analizar medidas que los eliminen o que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto. Para evaluarlos hay que considerar el tipo de información almacenada, procesada y transmitida, la criticidad de las operaciones, la tecnología usada, el marco legal aplicable, el sector de la entidad, la entidad misma y el momento. Los riesgos pueden disminuirse (generalmente no pueden eliminarse), transferirse o asumirse.

5.4 TEC. Y HERRAMIENTAS DE AUDITORIA RELACIONADAS CON LA SEG. EN LA TELEINFORMATICA

Introducción General a la Seguridad en Redes

*Definiciones.

La seguridad informática es una disciplina que se relaciona a diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios.
*Intrusos

Persona que intenta acceder a un sistema informático sin autorización
Un intruso es aquel que hace aplicaciones informáticas sin la calidad suficiente, ese es el tipo de intruso que hay que perseguir y erradicar de la profesión.

*Amenazas

La amenaza representa el tipo de acción que tiende a ser dañina, mientras que la vulnerabilidad (conocida a veces como falencias (flaws) o brechas (breaches)) representa el grado de exposición a las amenazas en un contexto particular. Finalmente, la contramedida representa todas las acciones que se implementan para prevenir la amenaza.

*Ataques

Intento organizado y deliberado de una o más personas para causar daño o problemas a un sistema informático o red. Los ataques en grupo suelen ser hechos por bandas de piratas informáticos por diversión, para causar daño, buenas (relativamente buenas) intenciones, espionaje, obtención de ganancias, etc. Los blancos preferidos suelen ser los sistemas de grandes corporaciones o estados, pero ningún usuario de Internet u otras redes está exento.
Probablemente el primer ataque informático masivo de la historia se produjo un viernes 13 de 1989, cuando una revista informática regaló disquetes de promoción, pero estaban infectados con un virus. El virus afectó a cientos de empresas y particulares.
Actualmente los ataques suelen afectar principalmente a Internet, pero también afectan otras redes como las de telefonía, redes Wi-Fi, redes de área local de empresas, etc.
Plantación de la Seguridad

**Análisis del sistema actual
**Análisis de riesgos
**Definición de políticas de seguridad
**Implantación de la seguridad
**Servicios de Seguridad
**Modelo OSI para arquitecturas de Seguridad
**Modelo TCP/IP

1 comentario:

  1. saludos adrian me parecio muy interesante tu blog y toda la informacion que agragaste espero y toda esta me sirva no solo para mi si no para los demas compañeros

    ResponderEliminar