Instituto Politcnico Nacional

Unidad Profesional de Ingeniera y Ciencias Sociales y

Administrativas

Unidad 2
AUDITORA A LA INTEGRIDAD,
DISPONIBILIDAD Y CONFIDENCIALIDAD
DE LATECNOLOGA DE INFORMACIN.
Integrantes:
Araiza Marroquin Selene
Olivo Torres Diana Anglica
Rodrguez Mrquez Mara Del Pilar
Snchez Prez Adriana
Valencia Aguilar Adriana del Rosario

QU SON LOS CONTROLES

DE ACCESO

LGICO?
son mecanismos que

protegen los sistemas

informativos,
aplicaciones y datos
informticos. Las
contraseas son un
importante control de
acceso.

Las contraseas deben

cubrir ciertos Requisitos:
tener como mnimo 8
caracteres,
caracteres especiales
(tales como * $ % ^ & #)
cambiarla al menos cada
90 das
ser unipersonales (no
compartidas)

COMPONENTES DE UNA BUENA POLTICA DE

SEGURIDAD

Pautas
Pautas
paraNormas
la
sobre
adquisicin
el
reporte
de
tecnologa
violaciones
informtica
Criterios
deNiveles
disponibilidad
dede
privacidad
Pautas
Normas
de autenticacin
de acceso
de responsabilidad

TRAYECTORIAS DE ACCESO
LGICO

El auditor de SI debe evaluar cada componente

y ver si est debidamente implementado y si

tiene la debida seguridad de acceso. La
secuencia tpica de los componentes es la
siguiente:

 Una
Una computadora
computadora personal
personal es
es un
un elemento
elemento de
de una
una red
red local
local usado
usado por
por un
un usuario
usuario final
final para
para
registrarse
registrarse ante
ante el
el sistema
sistema (hacer
(hacer el
el Sign
Sign on).
on).

El
El Logon-ID
Logon-ID yy la
la contrasea
contrasea que
que se
se usa
usa debe
debe estar
estar sujeto
sujeto a
a las
las restricciones
restricciones o
o normas
normas
establecidas
establecidas de
de longitud,
longitud, caracteres,
caracteres, etc
etc

El
El software
software de
de telecomunicaciones
telecomunicaciones puede
puede restringir
restringir el
el acceso
acceso desde
desde las
las terminales
terminales a
a datos
datos
especficos
o
al
software
de
aplicaciones.
Un
aspecto
clave
de
auditora
del
software
es
especficos o al software de aplicaciones. Un aspecto clave de auditora del software es
asegurar
asegurar que
que todas
todas las
las aplicaciones
aplicaciones hayan
hayan sido
sido definidas
definidas en
en el
el software
software yy que
que las
las diversas
diversas
funciones
opcionales
de
control
de
las
telecomunicaciones
y
de
procesamiento
usadas
funciones opcionales de control de las telecomunicaciones y de procesamiento usadas sean
sean
las
apropiadas
y
estn
aprobadas
por
la
gerencia.
las apropiadas y estn aprobadas por la gerencia.

El
El software
software de
de procesamiento
procesamiento de
de transacciones
transacciones puede
puede ser
ser el
el siguiente
siguiente elemento
elemento en
en la
la va
va de
de
acceso.
acceso. Dirige
Dirige las
las transacciones
transacciones al
al software
software apropiado
apropiado de
de aplicacin
aplicacin

La
La aplicacin
aplicacin se
se encuentra
encuentra entonces
entonces procesando
procesando las
las transacciones
transacciones de
de acuerdo
acuerdo con
con la
la lgica
lgica
del
del programa.
programa.

FUGA
FUGA DE
DE
DATOS
DATOS

PIGGYBACK
PIGGYBACK

A.L.EXPUESO
Y EMITIDO

SHUTDOWN
SHUTDOWN

ATAQUES
ATAQUES
ASINCRONOS
ASINCRONOS

EJEMPLOS DE CONTROL DE
ACCESO LOGICO
OBJETOS A
PROTEGER

METODOS
DE
PROTECCI
N
PARAMETRO
S DE
SEGURIDAD

NORMAS
DOCUMENTAR UN
PROCEDIMEINTO
ID Y PASSWORD
DESHABILITAR CUENTAS

RECOMENDACIONES
PASSWORD CON UN
MINIMO DE
CARACTERES
CAMBIAR CLAVE CADA
30 DIAS
INTENTOS FALLIDOS Y
RESTRICCIONES

TECNICAS DE EVALUACION
1

IDENTIFICAR TERMINALES

RECORRIDO POR LAS AREAS DE

TRABAJO

OBTENER EL LISTADO
ACTUALIZADO DE IDS

TECNICAS DE EVALUACION
4

PROBAR SINTAXIS DE
CONTRASEAS

PROBAR SI HAY DESACTIVACIN

INTENTOS DE CONTRASEAS

CONTROLES DE
ACCESO FSICO

QUE
ES?

El control fsico es la implementacin de medidas de

seguridad en una estructura definida usada para
prevenir o detener el acceso no autorizado a
material confidencial.
EJEMPLOS:

Es el control de los puntos estratgicos de una

compaa mediante equipos que verifican la
identidad de las personas en el momento de
ingresar a las instalaciones.

o
s
e
c
c
a
e
s
d
e
n
s
o
o
i
t
c
i
n
s
u
o
P
p
x
e
y

La seguridad fsica involucra como mnimo los siguientes aspectos:

Control de Acceso
Seguridad contra Incendios
Suministro de Energa
Aire Acondicionado
Deteccin de Agua
Guardias de Seguridad
Telecomunicaciones

Controles de
acceso fsico
QUE ACCESO FSICO PODEMOS CONTEMPLAR PARA AUDITAR?

EXPOSICIONES AMBIENTALES
Condiciones Constructivas.
Ubicacin del CPD.
Instalaciones elctricas.
Temperatura Ambiental.

CONTROLES AMBIENTALES
Podemos tomar en cuenta
riesgos naturales, riesgos de
vecindad al momento de
ubicar el centro de computo
y as tomar las medidas de
seguridad correspondientes.

Factores Ambientales:
-Incendios.
-Sismos.
-Humedad.
-Inundaciones.

TCNICAS DE EVALUACIN Y
REVISIN
Con base en estndares y normas por ejemplo:
-Norma ISO/IEC 27001
-Norma ANSI/TIA 942
-Estndares 802 del IEEE

Norma ISO/IEC 27001.

La norma se ha concebido para garantizar la
seleccin de controles de seguridad
adecuados y proporcionales.

CONTROL DE ORIGEN DE DATOS.

Es establecer procedimientos
que permitan proteger los
datos
contra
prdida
y
destruccin. En caso de que
llegara
a
ocurrir
algn
accidente se debe contar con
los
procedimientos
necesarios para reconstruir
los archivos y programas.

VALIDACIN
DE DATOS
Proceso por el cual los
datos son filtrados y
aceptados o rechazados
en
base
a
procedimientos
definidos.

CONTROLES
DE
PROCESAMIENTO
El control del procesamiento
garantiza que los datos se
estn
transformando
en
informacin, en forma exacta y
confiable.

Ambiente de sistemas en aplicacin.

sitios webo
sistemas online,
javascript,
e-mail,etc.

Bases de
datos

AUTENTICACIN /AUTENTIFICACIN .
Es el proceso de intento de verificar la identidad digital del remitente de una
comunicacin como una peticin para conectarse. El proceso general de
autenticacin consta de los siguientes pasos:

El usuario
solicita acceso a
un sistema.

El sistema
solicita al
usuario que se
autentique.

El usuario
aporta las
credenciales
que le
identifican y
permiten
verificar la
autenticidad de
la identificacin.

El sistema valida
segn sus
reglas si las
credenciales
aportadas son
suficientes para
dar acceso al
usuario o no.

Procesos de validacin y
edicin

Datos exactos
correcto
funcionamiento del
instrumento
mantenimiento
preventivo del
mismo

calibracin
peridica
verificacin de
su
funcionamiento

Antes de aprobar o
rechazar chequear:
Correcta identificacin de
las muestras
Posibilidad de transmisin
de errores

Admisibilidad
Consistencia

Qu podemos detectar al validar los

datos?

Errores en
Eventos
la
inusuales
presentaci
durante el
n de los
muestreo
datos
Errores en
Potenciale
la
s
transcripci
problemas
n de los
en el
datos
anlisis

Comparaciones
Chequeo de
con datos
admisibilidad
similares
de valores
Mediant
e:
Anlisis de
regresin

Tests de
outliers