Auditoria

AUDITORIA DE LA SEGURIDAD LÓGICA

7.1 CONCEPTO DE LA SEGURIDAD LÓGICA.

La mayoría de los daños que puede sufrir un sistema informático no será solo los medios físicos sino contra información almacenada y procesada. El activo más importante que se posee es la información y por tanto deben existir técnicas más allá de la seguridad física que la asegure, estas técnicas las brinda la seguridad lógica.

Es decir que la seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y solo se permita acceder a ellos a las personas autorizadas para ello.

"Aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo."

Objetivo principal:

Restringir el acceso a los programas y archivos.

Características:

• Constituyen una importante ayuda para proteger al sistema operativo de la red.

• Pueden detectar las violaciones de seguridad.

• Restringir el acceso a los programas y archivos.

• Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.

• Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.

• Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.

• Que la información recibida sea la misma que ha sido transmitida.

• Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.

• Que se disponga de pasos alternativos de emergencia para la transmisión de información.

7.2 CONSECUENCIAS Y RIESGOS.

Algunas consecuencias y riesgos que podría traer a la empresa la falta de seguridad lógica son:

1. Cambios de datos.

2. Copias de programas y/o información.

3. Código oculto en un programa.

4. Virus.

5. Modificación.

6. Robo de información.

7. Manipulación de información si no es bien transmitida.

7.3 RUTAS DE ACCESO.

Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema.

Los tipos de restricciones de acceso son:

• Solo lectura.

• Solo consulta.

• Lectura y consulta.

• Lectura, escritura para crear, actualizar, borrar, ejecutar o copiar.

El esquema de las rutas de acceso sirve para identificar todos los puntos de control que pueden ser usados para proteger los datos en el sistema.

El auditor debe conocer las rutas de acceso para la evaluación de los puntos de control apropiados.

7.4 CLAVES DE ACCESO.

Un área importante en la seguridad lógica de las claves de acceso de los usuarios. Existen diferentes métodos de identificación del usuario:

• Password.

• Código o llaves de acceso.

Las claves de acceso pueden ser usadas para controlar el acceso a la computadora, a sus recursos, así como definir el nivel de acceso funciones especificas.

Las llaves de acceso deben tener las siguientes características:

• El sistema debe verificar primero que el usuario tenga una llave de acceso valido.

• La llave de acceso debe ser de una longitud adecuada.

• La llave de acceso no debe ser desplegada cuando es tecleada.

• Las llaves de acceso debe ser encintadas.

• Las llaves de acceso deben de prohibir el uso de nombres, palabras o caracteres difíciles de retener.

Dispositivos biométricos.

• Las huellas dactilares.

• La retina.

• La geometría de la mano.

• Firma.

• Voz.

7.5 SOFTWARE DE CONTROL DE ACCESO.

El software de control de acceso, tiene las siguientes funciones:

• Definición de usuarios.

• Definición de las funciones del usuario después de tener acceso al sistema.

• Establecimiento de auditoría a través del uso del sistema.

La mayor ventaja del software de seguridad es la capacidad para proteger los recursos de acceso no autorizados, incluyendo los siguientes:

• Procesos en espera de modificación por un programa de aplicación.

• Acceso a editores en línea.

• Acceso a utilerías de software.

• Acceso a archivos de bases de datos a través de un manejador de base de datos.

• Acceso de terminales o estaciones no autorizadas.

Software manejador de base de datos: es un software cuya finalidad es la de controlar, organizar y manipular los datos. Provee múltiples caminos para accesar los datos en una base de datos. Maneja la integridad de ellos entre operaciones funciones y tareas de la organización.

Software de consolas o terminales maestras: puede ser definido como varios programas del sistema operativo que proveen soporte y servicio para que las terminales en la línea accedan a los programas en aplicación.

Software de librerías: consta de datos y programas específicos escritos para ejecutar una función de la organización. Los programas en aplicación pueden ser guardados en archivos en el sistema, y el acceso a estos programas puede ser controlados por medio del software usado para controlar el acceso a estos archivos.

Software de utilerías: existen dos tipos de utilerías. El primero es usado en los sistemas de desarrollo para proveer productividad. El desarrollo de programas y los editores en línea son los ejemplos de este tipo de software. El segundo es usado para asistir en el manejo de operaciones de la computadora. Moniteros, calendarios de trabajo, sistema manejador de disco y cinta son ejemplos de este software.

7.6 TIPOS DE SEGURIDAD LÓGICA.

• Encriptación: Toda encriptación se encuentra basada en un Algoritmo, la función de este Algoritmo es básicamente codificar la información para que sea indescifrable a simple vista, de manera que una letra "A" pueda equivaler a:"5x5mBwE" o bien a "xQE9fq", el trabajo del algoritmo es precisamente determinar cómo será transformada la información de su estado original a otro que sea muy difícil de descifrar.

Una vez que la información arribe a su destino final, se aplica el algoritmo al contenido codificado "5x5mBwE" o bien a "xQE9fq" y resulta en la letra "A" o según sea el caso, en otra letra. Hoy en día los algoritmos de encriptación son ampliamente

...