Transcript Temario – Seguridad Lógica

SEGURIDAD LÓGICA
Seguridad y Auditoria de Sistemas
Ciclo 2009-1
Ing. Yolfer Hernández, CIA
Temario – Seguridad Lógica
• Seguridad Lógica:
• Definición
• Rutas y Exposiciones de Acceso Lógico.
• Controles de acceso lógico.
Seguridad Lógica
“Aplicación de procedimientos y
barreras que resguarden la seguridad
de uso del software, protección de
los datos, procesos y programas, así
como la del ordenado y autorizado
acceso
de
los
usuarios
a
la
información."
“Todo lo que no está permitido debe
estar prohibido."
Rutas de acceso Lógico
•
•
•
•
•
•
Consola de Operación
Terminales On-Line
Procesamiento diferido
Acceso por teléfono conmutado
Redes de Telecomunicaciones
Acceso por Internet
Exposiciones de acceso
Lógico
Objetivos
• Desafío
• Ganancia política
• Ganancia
Financiera
• Daños
Resultados
Corrupción de Información
Revelación de Información
Acceso a servicios no
autorizados
Denegación de Servicios
Exposiciones de acceso
Lógico
Perpetradores:
• Empleados actuales y antiguos
• Visitantes educados o interesados.
• Personal contratado a tiempo parcial.
• Hackers / Crackers (vándalos).
• Chantaje
• Crimen Organizado
• Espionaje industrial
Exposiciones de acceso
Lógico
Como se efectúa:
• Fraude
Caballos de Troya <troyan horses>
Ingeniería social
• Sabotaje
Bombas lógicas <logic bombs>
Virus informáticos / Gusanos
• Acceso no autorizado Puertas falsas <trap doors>
Llave maestra <superzapping>
• Robo de servicios
Informaciones residuales <scavenging, Trashing >
Suplantación de personalidad <impersonation>
• Espionaje informático Espionaje, robo o hurto de software
Fuga de Datos <data leakage>
Exposiciones de acceso
Lógico
Impactos:
• Inhabilitación de Servicios
• Perdida financiera.
• Repercusión Legal
• Perdida de credibilidad o competitividad.
• Divulgación de Información sensible,
confidencial o comprometedores
Seguridad Lógica - Objetivos

Restringir acceso a los programas, información, procesos e
instalaciones.

Asegurar principio de segregación de funciones:
Los circuitos operativos críticos no deben ser manejados por una sola
persona o departamento (programas, datos, procesos), para reducir riesgo
de errores o irregularidades (fraude interno).
Toda transacción debe ser realizada en cuatro etapas: registro, aprobación,
autorización y ejecución
.

Asegurar uso de procedimientos correctos
Trabajar con supervisión minuciosa y adecuado uso de los datos, archivos y
programas.

Asegurar procedimientos de Transmisión de datos
La información transmitida sea recibida sólo por el destinatario al cual ha
sido enviada y no a otro.
La información recibida sea la misma que ha sido transmitida.

Asegurar procedimientos de contingencia
Existencia de sistemas alternativos secundarios, tanto de procesamiento
como transmisión.
Acceso Lógico - Controles
•
•
•
•
•
•
•
•
Identificación y Autentificación
Definir roles y responsabilidades
Administración de perfiles y usuarios
Transacciones o accesos autorizados
Limitaciones a los Servicios
Modalidad de Acceso
Ubicación y Horario
Controles de Acceso Interno y Externo
Acceso Lógico – Donde aplicar
•
•
•
•
•
•
•
Datos, Logs, Archivos temporales, Backups
Directorios y diccionarios de datos
Librerías de archivos y de contraseñas
Software de aplicación: Pruebas y Producción.
Software del sistema y utilitarios
Software de Seguridad
Líneas de Telecomunicaciones y Red
Perimetral.
• Librerías de procedimientos