Seguridad Informática: Protección Lógica y Física de Datos y Sistemas

Enviado por Programa Chuletas y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 19,39 KB

Cuestionario para el examen

Seguridad Lógica

Consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y solo permiten acceder a ellos a las personas autorizadas.

Existe un viejo dicho en la seguridad informática: "todo lo que no está permitido debe estar prohibido", y esto es lo que debe asegurar la seguridad lógica.

Objetivos de la Seguridad Lógica

  • Restringir el acceso a los programas y archivos.
  • Asegurar que los operadores puedan trabajar sin supervisión minuciosa y no puedan modificar programas ni archivos no autorizados.
  • Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento adecuado.
  • Que la información transmitida sea recibida solo por el destinatario.
  • Que la información recibida sea la misma que ha sido transmitida.
  • Que existan sistemas alternativos secundarios.
  • Que se dispongan de pasos alternativos de emergencia para la transmisión de información.

Controles de Acceso

  1. Identificación y autenticación.
  2. Roles
  3. Transacciones
  4. Limitaciones a los servicios
  5. Modalidad de acceso
  6. Ubicación y Horario
  7. Control de acceso interno
  8. Control de acceso externo
  9. Administración

Niveles de Seguridad

  • Nivel D
  • Nivel C1: protección discrecional
  • Nivel C2: protección de acceso controlado
  • Nivel B1: seguridad etiquetada
  • Nivel B2: protección estructurada
  • Nivel B3: dominios de seguridad
  • Nivel A: protección verificada
Requerimientos Mínimos que debe cumplir la Clase C1
  • Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usuarios (con los mismos privilegios) y grupos objetos (archivos, directorios, discos) sobre los cuales podrán actuar usuarios o grupos de ellos.
  • Identificación y autenticación: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser un usuario sin autorización o identificación.
¿Quién es el encargado de Fijar los canales de almacenamiento en el nivel B2?

El administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.

Ejemplos de sistemas que responden al Nivel D

Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh.

Seguridad Física

Se refiere a la protección de hardware y los soportes de datos, así también como la seguridad de los edificios y las instalaciones que los albergan. Esto contempla situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc.

Consisten en barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial.

Características de la Seguridad Física

  • Perímetro de seguridad.
  • Controles de acceso físico.
  • Protección de oficinas, recintos e instalaciones.
  • Trabajo en áreas seguras.
  • Acceso a las áreas de distribución y recepción de cargas

Controles en un Ambiente de Procesamiento de Datos

  • Controles de preinstalación
  • Controles de organización y planificación
  • Controles de sistemas en desarrollo y producción
  • Controles de procedimientos
  • Controles de operación
  • Controles de uso de microcomputadoras

Controles de Preinstalación

Hacen referencia a los procesos y actividades previos a la adquisición e instalación de un equipo de computación y a la automatización de los sistemas existentes.

Objetivos de los Controles de Preinstalación
  • Garantizar que el hardware y software se adquieran solo si se tiene la seguridad de que los sistemas computarizados proporcionarán mayores beneficios que otras alternativas.
  • Garantizar la selección adecuada de equipos y sistemas de computación.
  • Asegurar la elaboración de un plan de actividades previo a la instalación.
  • Acción a seguir: elaboración de un informe técnico que justifique la adquisición de equipo, software y servicios de computación, incluyendo un estudio costo-beneficio.

Controles de Organización y Planificación

Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como:

  1. Diseñar sistemas
  2. Elaborar programas
  3. Operar el sistema
  4. Control de calidad
Acciones a seguir para los Controles de Organización y Planificación
  • La unidad informática debe estar al más alto nivel de la pirámide administrativa para que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva.
  • Las funciones de operación, programación y diseño de sistemas deben estar claramente delimitadas.
  • Deben existir mecanismos para asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas.
  • Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados de procedimiento.
  • El manejo y custodia de dispositivos y archivos magnéticos deben estar definidos por escrito.

Controles de Sistema en Desarrollo y Producción

Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcione información oportuna y efectiva, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados.

Acciones a Seguir para los Controles de Sistema en Desarrollo y Producción
  • El control de auditoría interna/control debe formar parte del grupo de diseño para seguir y solicitar la implantación de rutinas de control.
  • El desarrollo, diseño y mantenimiento de sistema obedece a planes específicos, metodologías estándares, procedimientos y, en general, a normatividad escrita y aprobada.
  • Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos para evitar reclamos posteriores.
  • Los programas, antes de pasar a producción, deben ser probados con datos que agoten todas las excepciones posibles.

Controles de Procesamiento

Se refiere al ciclo que sigue la información desde la entrada hasta la salida.

Revisión de Programas de Operación

Se verifica que el cronograma de actividades para procesar la información asegure la utilización efectiva del computador.

Controles en el Uso del Microcomputador

?Adquisición de equipos de protección como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo.Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo.Establecer procedimientos para obtención de backups para paquetes y de archivos de datos.Revisión periódica y sorpresiva del contenido del disco para la instalación de aplicaciones no relacionadas a la gestión de la empresa.Define Plan de Contingencia.

     Consiste en la identificación de aquellos sistemas de información y/o recursos informáticos aplicados que son susceptibles de deterioro, violación o pérdida y que pueden ocasionar graves trastornos para el desenvolvimiento normal de la organización, con el propósito de estructurar y ejecutar aquellos procedimientos y asignar responsabilidades que salvaguarden la información y permitan su recuperación garantizando la confidencialidad, integridad y disponibilidad de ésta en el menor tiempo posible y a unos costos razonables.

  • Que Garantiza Desarrollar un Plan de Contingencia?

Garantiza la seguridad física, la integridad de los activos humanos, lógicos y materiales de un sistema de información de datos

  • Que Permite Desarrollar un Plan de Contingencia?

Permite realizar un Análisis de Riesgos, Respaldo de los datos y su posterior Recuperación de los datos. En general, cualquier desastre es cualquier evento que, cuando ocurre, tiene la capacidad de interrumpir el normal proceso de una empresa. La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto podría ser tan grande que resultaría fatal para la organización.

 Permite definir contratos de seguros, que vienen a compensar, en mayor o menor medida las pérdidas, gastos o responsabilidades

  • Recomendaciones de un Plan de Contingencia

Programar las actividades propuestas en el Plan de Contingencias y Seguridad de Información.

 Hacer de conocimiento general el contenido del Plan de Contingencias y Seguridad de Información, con la finalidad de instruir adecuadamente al personal.

Adicionalmente al plan de contingencias se debe desarrollar reglas de control y pruebas para verificar la efectividad de las acciones en caso de la ocurrencia de los problemas y tener la seguridad de que se cuenta con un método seguro.

 Se debe tener una adecuada seguridad orientada a proteger todos los recursos informáticos desde el dato más simple hasta lo más valioso que es el talento humano; pero no se puede caer en excesos diseñando tantos controles y medidas que desvirtúen el propio sentido de la seguridad, por consiguiente, se debe hacer un análisis de costo/beneficio evaluando las consecuencias que pueda acarrear la pérdida de información y demás recursos informáticos, así como analizar los factores que afectan negativamente la productividad de la empresa

  • Puntos a Considerar para la Adquisición de Hardware.
  • Determinación del tamaño y requerimientos de capacidad.
  • Evaluación y medición de la computadora.
  • Compatibilidad.
  • Factores financieros.
  • Mantenimiento y soporte técnico.
  • Características a Considerar para la Adquisición de Hardware
  • Tamaño interno de la memoria.
  • Velocidad de procesamiento.
  • Número de canales para Entrada/Salida de datos y comunicaciones.
  • Tipos y números de dispositivos de almacenamiento.
  • Software que se proporciona y sistemas desarrollados disponibles.
  • Factores principales para la adquisición de software.
  • Asignar el personal
  • Preparar listas de requerimientos
  • Requisición de propuestas
  • Evaluar alternativas
  • Contactar usuarios para confirmar
  • Financiamiento para la adquisición
  • Negociación de contrato
  • Características a considerar en la Adquisición de software

Flexibilidad, capacidades, previsión de auditorias, confiabilidad, contratos de software y apoyos del proveedor.

  • Las áreas donde la flexibilidad es deseable.
  • En el almacenamiento de datos.
  • En la producción de informes.
  • En la entrada de datos.
  • En la definición de parámetros
  • Tipos de Contrato de Software
  • Alquilar un paquete de Software y asignación de programación al cliente.
  • Dentro del contrato se estipula la propiedad y mantenimiento del software
  • Beneficios de un Sistema de Seguridad.
  • Los beneficios de un Sistema de Seguridad bien elaborados son inmediatos, ya que la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos:
  • Aumento de la productividad
  • Compromiso con la misión de la compañía
  • Ayuda a formar equipos competentes
  • Mejora de los climas laborales para los Recursos Humanos
  • Etapas para implantar un Plan de Seguridad.
  • Introducir el tema de Seguridad en la visión de la empresa.
  • Definir los procesos de Flujo de Información y sus Riesgos en cuanto a todos los recursos participantes.
  • Capacitar a los Gerentes y Directivos, contemplando el enfoque global.
  • Designar y capacitar a Supervisores de área.
  • Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas.
  • Mejorar las comunicaciones internas.
  • Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel.
  • Capacitar a todos los trabajadores en los elementos básicos de Seguridad y Riesgo para el manejo del software, hardware y con respecto a la Seguridad Física.
  • Puesta en marcha de una Política de Seguridad.
  • Elaborar reglas y procedimientos para cada servicio de la organización.
  • Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión.
  • Sensibilizar los operadores con los problemas ligados con la seguridad de los sistemas informáticos.
  • Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, quienes tienen que conseguir que los recursos y derechos de acceso sean coherentes con la Política de Seguridad definida.
  • Riesgos de datos
  • Los riesgos de datos ocurren cuando estos son modificados. Hay tres situaciones en las que puede aparecer un riesgo de datos:
  • Read after Write (RAW) o dependencia verdadera: Un operando es modificado para ser leído posteriormente. Si la primera instrucción no ha terminado de escribir el operando, la segunda estará utilizando datos incorrectos.
  • Write after Read (WAR) o anti-dependencia: Leer un operando y escribir en él en poco tiempo. Si la escritura finaliza antes que la lectura, la instrucción de lectura utilizará el nuevo valor y no el antiguo.
  • Write after Write (WAW) o dependencia de salida: Dos instrucciones que escriben en un mismo operando. La primera en ser emitida puede que finalice en segundo lugar, de modo que el operando final no tenga el valor adecuado.
  • Factores que Propician el Acceso de Intrusos a la Redes y Sistemas.
  • Los sistemas operativos y las aplicaciones nunca estarán protegidos. Incluso si se protege el sistema nuevas vulnerabildades aparecerán en el entorno todos los días, como las que actualmente representan los teléfonos, equipos inalámbricos y dispositivos de red.
  • En las empresas las redes internas son más o menos confiables, ya que los empleados se conectan a la red desde la casa, otras oficinas u hoteles fuera de la empresa, lo cual genera nuevos riesgos.
  • Falta de seguridad física en algunas empresas y falta de políticas de seguridad informática. Por ejemplo, muchos empleados se ausentan y dejan desprotegida su computadora.
  • Los empleados no siempre siguen y reconocen la importancia de las políticas de seguridad: La capacitación y entrenamiento que se les brinde a los empleados no cuenta mucho si ignoran las advertencias sobre los peligros de abrir los archivos adjuntos sospechosos del correo electrónico.
  • Requerimientos cada vez mayores de disponibilidad de redes y acceso a ellas.
  • Medidas para Controlar el Acceso de Intrusos.
  • Utilizar un firewall, que no es más que un dispositivo localizado entre la computadora anfitriona y una red, con el objeto de bloquear el tráfico no deseado de la red mientras permite el cruce de otro tráfico.
  • Utilización y actualización de antivirus.
  • Actualizar todos los sistemas, servidores y aplicaciones, ya que los intrusos por lo general a través de agujeros conocidos de seguridad.
  • Desactivar los servicios innecesarios de redes.
  • Eliminar todos los programas innecesarios.
  • Analizar la red en busca de servicios comunes de acceso furtivo y utilizar sistemas de detección de intrusos los cuales permiten detectar ataques que pasan inadvertidos a un firewall y avisar antes o justo después de que se produzcan, y
  • Finalmente, establecer la práctica de crear respaldos o backups.
  • Define Entrada de Información

Es el proceso mediante el cual el Sistema de Información toma los datos que requiere para procesar la información

  • Define Almacenamiento de la Información.

El almacenamiento es una de las actividades o capacidades más importantes que tiene una computadora, ya que a través de esta propiedad el sistema puede recordar la información guardada en la sección o proceso anterior.

  • Etapas para Implantar un Sistema de Seguridad en Marcha.
  • Introducir el tema de seguridad en la visión de la empresa.
  • Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos participantes.
  • Capacitar a los gerentes y directivos, contemplando el enfoque global.
  • Designar y capacitar supervisores de área.
  • Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas.
  • Mejorar las comunicaciones internas.
  • Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel.
  • Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad física.
  • Plan de Seguridad Ideal (o Normativo)
  • El plan de seguridad debe asegurar la integridad y exactitud de los datos
  • Debe permitir identificar la información que es confidencial
  • Debe contemplar áreas de uso exclusivo
  • Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles
  • Debe asegurar la capacidad de la organización para sobrevivir accidentes
  • Debe proteger a los empleados contra tentaciones o sospechas innecesarias
  • Debe contemplar la administración contra acusaciones por imprudencia.
Karma: 0%
Visitas: 0

Entradas relacionadas:

Etiquetas:
seguridad física seguridad lógica sistemas de información plan de contingencia protección de datos riesgos informáticos seguridad informática controles de acceso