SlideShare una empresa de Scribd logo

Sia i cap10

Descargar como PPTX, PDF
Carlos Gonzalez, profile picture
Carlos Gonzalez

Este documento describe diferentes tipos de controles de información y seguridad de datos, incluyendo controles preventivos, detectivos, correctivos y proactivos. Explica conceptos como segregación de funciones, responsabilidad por controles, seguridad de hardware, software e implementación. También cubre temas de comunicaciones seguras, criptografía simétrica y asimétrica, y firma digital.

Educación
1 de 52
Descargado 12 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
Administración del recurso Información Carlos González Lavado Universidad de Aconcagua
Controles  Los Controles pueden ser:  Preventivos  Detectivos  Correctivos  Proactivos
Control Interno Informático
Controles Generales o de Integridad  Son procedimientos diseñados para asegurar que los programas computacionales funcionan adecuadamente.  Que las modificaciones a programas y datos son debidamente autorizados, y que su administración contribuye a lograr los objetivos y la misión de la empresa.
Objetivos de los Controles Generales o de Integridad  Preservar los atributos de la información  Brindar apoyo competitivo  Mantener la continuidad y consistencia  Apoyar la eficiencia operativa  Mantener una cultura informática adecuada  Apoyar la protección del Patrimonio  Emplear los recursos TI adecuadamente
CPD: centro de procesamiento de datos  Objetivo:  Apoyar a todas las demás funciones de la empresa u organización, para que logren los objetivos fijados por la Gerencia, usando la Tecnología Informática.  Organización:  Formal  Informal  Funciones o Actividades del C.P.D.  Desarrollo  Mantención  Control de Calidad  Operaciones  Explotación  Ingreso de Datos
Desarrollo  Función de desarrollo: (estructura).
Mantención  Función Mantención
Calidad
Operaciones
Explotación
Ingreso
Organización del CPD
Organización  Los Controles de Organización se refieren a la segregación de funciones y a la responsabilidad por el control.  Están diseñados para asegurar que la organización del C.P.D., su Hardware, su Software y sus Recursos Humanos están al servicio de la empresa y tienen la debida protección.
Organización  Segregación: Se debe mantener la separación de los usuarios que autorizan una transacción, de aquellos que la ejecutan y/o la registran; de los que crean programas computaciones (aplicaciones) de aquellos que operan dichos sistemas, como de los que ejecutan los mismos.
Segregación  Se trata entonces de evitar la concentración de funciones en una sola persona, disminuyendo el riesgo que ello significa.  En los sistemas manuales, el control por segregación consiste en separar las cuatros funciones primarias a saber:  Autorización  Ejecución  Registro  Mantenimiento
Segregación  Los Sistemas Computacionales ejecutan las funciones de autorización, ejecución y registro simultaneamente, lo que incide en buscar alternativas de control que permitan compensar la ausencia de la segregación de funciones.
Responsabilidad del Control  Cada usuario debe tener muy claro de la autoridad que le ha sido delegada y la responsabilidad que ésto conlleva.  Esto significa que la responsabilidad de un usuario, de un Jefe de Proyecto, de un Analista, de un Programador y/o de un Oficial de Seguridad, deben estar muy claras, para evitar errores, irregularidades y cualquier atentado contra la empresa.  No olvidarse que la responsabilidad no se delega.
Hardware  Se debe tener control sobre los siguientes aspectos del Hardware:  Acceso Físico:  Debe existir protección al acceso a la sala donde funciona el equipo computacional y sus periféricos. Esto es válido para el hardware en poder de los usuarios.
Hardware  Registro de Mantenimiento:  El Hardware cada vez es más confiable, pero debe tener un mantenimiento preventivo que debe realizarse con cierta frecuencia. Para ello es conveniente llevar una bitácora de mantenimiento, donde se registre cada reparación o acción preventiva, pudiendo con ello determinar frecuencia de errores y corrección de la prevención.
Hardware  Medio Ambiente:  A pesar que el hardware está más protegido, no debe descuidarse el polvo del medio ambiente, los niveles de humedad y las fluctuaciones en la temperatura ambiental.  Protección de Energía:  La fuente de energía debe estar protegida a las variaciones y a los cortes accidentales con estabilizadores y UPS.  Las variaciones sobre el 10% del voltaje por ejemplo, puede causar errores de procesamiento e inclusive dañar la CPU, la Memoria y/o los circuitos integrados.
Implementación  Están diseñados para asegurar que los procedimientos programados son: Una respuesta a una idea o una solución a un problema, de acuerdo a procedimientos preestablecidos. Adecuados a los requerimientos de la empresa y de los usuarios. Se construyen con una metodología adecuada y son debidamente documentados. Adecuadamente implementados. Autorizadas las modificaciones a programas en operaciones, cumpliéndose los objetivos precitados.
Implementación  Se clasifican en:  Necesidad del sistema.  Desarrollo del sistema.  Mantención del sistema.
Necesidad del sistema  Procedimiento de inicio de un sistema  Estudio de Factibilidad  Informe Comité de Informática
Desarrollo del sistema  Análisis y Diseño  Construcción (prueba de programas)  Implementación (Catalogación y prueba paralela).
Mantención del sistema  Procedimiento de Modificación de un Sistema  Procedimiento de Emergencia (fuera de horario)
Seguridad del sistema  Están diseñados para asegurar que: Cambios no autorizados puedan ser hechos a programas en explotación ni a sus datos.  Exista un procedimiento para autorizar las modificaciones a los programas.  Programas y datos en línea, deben estar pro- tegidos contra modificaciones no autorizadas.  Programas y datos fuera de línea, deben además estar custodiados físicamente.
 Están diseñados para asegurar que: Operación del computador Los sistemas funcionan continuamente en forma consistente. Las operaciones se realizan de acuerdo a lo planeado. Los datos utilizados son los apropiados. La continuidad de las operaciones está asegurada. (Recuperación y Respaldos) Custodia física de programas y datos
Planificación y Preparación de los trabajos  Los programas y datos a utilizar, deben estar definidos por los usuarios (Planificación)  Operaciones debe poner a disposición de los usuarios los programas y los datos de acuerdo a lo planificado.  Deben existir procedimientos para evitar el uso de archivos y tablas no adecuadas.
Programas de Operación y Operación del computador  Uso del los lenguajes de control de tareas para automatizar la operación del computador y disminuir los errores en los procesos.
Procedimientos de Recuperación y Respaldos  Facilidades para recomenzar un proceso en el punto de interrupción.  Sistemas de Respaldos (Backup) de acuerdo a la dependencia de la T.I.  Plan de Contingencias y Recuperación de Desastres.
Procedimientos de Recuperación y Respaldos
SEGURIDAD DE COMUNICACIONES  Están diseñados para asegurar que: El acceso a los sistemas se hace por personas autorizadas.  Confidencialidad  Autenticidad  Integridad  Garantía de No repudio o rechazo (negar que cierta transacción tuvo lugar)  Cualquier acceso no autorizado es detectado, como las modificaciones no autorizadas.
Comunicaciones
Criptología Criptología
Elementos del sistema criptográfico
Funcionamiento  Canal
Funcionamiento Encriptación simétrica
Funcionamiento  Consideraciones a tener presente:  Alicia y Beto debe convenir en un algoritmo a usar en sus comunicaciones.  Alicia y Beto deben compartir en forma segura la llave: Usando un medio de transporte físico privado Usando algun otro medio seguro  Ventajas de este método:  Es relativamente simple  Desde el punto de vista técnico es eficiente.
Ejemplos de Algoritmos Ejemplo de Algoritmos:  DES (Data Encryption Standard) Tamaño de llave: 40 y 56 bits  Triple DES Tamaño de llave: 112 a 168 bits Mayor seguridad que DES  Blowfish Tamaño de llaves de 32 a 448 bits Requiere pocos recursos Muy rápido
Ejemplos de Encription Algorithm)  IDEA (International Data Algoritmos  Tamaño de llaves: 128 bits  Requiere mucho procesamiento  RC5  Tamaño de llave: hasta 255 caracteres  Requiere pocos recursos, pero es lento.  Configuración flexible por parámetros  CAST-128  Tamaño llave: entre 5 y 15 caracteres  Algoritmo extensamente revisado por criptoanalistas  RC2  Tamaño llave de 8 a 1024 bits  Usado en microprocesadores de 16 bits
Funcionamiento  Criptografía asimétrica  Son algoritmos que utilizan llaves diferentes (relacionadas entre si), para realizar la encriptación y desencriptación. Esta metodología se usa normalmente para la firma digital, como también para el intercambio de llave simétrica. Estas llaves se les conoce como: Llave Pública  Llave Privada
Criptografía asimétrica  Características del Sistema Mensaje encriptado con la llave pública, la llave privada lo desencripta y viceversa.  La seguridad se basa en la imposibilidad de calcular una llave, a partir de la otra.  También se basa la seguridad, en mantener la llave privada como “secreta” (personal), y de mantener la relación con la llave pública en forma confiable.
Criptografía asimétrica  Propiedad de las llaves: Los pares de llaves son identificados o asociados con personas o con entidades.  La propiedad de las llaves públicas, es publicada y conocida por todos aquellos que les incumbe el mensaje.  La llave privada es “secreta” y debe quedar bajo la responsabilidad del dueño o responsable del mensaje.
Criptografía asimétrica
Criptografía asimétrica
Criptografía asimétrica
Ejemplos algoritmos  Ejemplos de Algoritmos Asimétricos: RSA Es uno de los algoritmos más usados, transformándose en el estándar de facto para la firma digital.  DSS (Digital Signature Standard) Se usa sólo para firma digital
Ejemplos algoritmos  ECC (Elliptic Curve Cryptosystem) Matemáticamente más complicado que RSA  Similar nivel de seguridad  Necesita menos procesamiento a igual tamaño de claves que RSA.  Algunas Consideraciones: Las llaves son típicamente números primos de 1024 bits o superiores.  A mayor tamaño de llaves, sistema más seguro.  Los procesos de Encriptado y Desencriptado, involucran cálculos exponenciales con las llaves, limitando la funcionalidad del sistema por su lentitud.
Ataques de fuerza bruta
Firma digital  Permite verificar el origen y la integridad del mensaje recibido. Permite asegurar que el mensaje recibido, proviene del emisor, quién no podrá negar su autoría => “NO REPUDIO” El NO REPUDIO pasa a ser un objetivo de la combinación de criptografía y firma digital
Sistema operativo  Control de Administración de la Seguridad  Establecer Objetivos de Seguridad  Evaluar los riesgos de Seguridad  Oficial de Seguridad   Perfil de Usuario  Control de Identificación  Control de Autenticidad  Control de Acceso de Terminales y/o Externo   Monitoreo Sistema Seguridad  Registro de las Operaciones (LOG)  Programas Ad-Hoc de Seguridad Activa

Más contenido relacionado

PPTX
Evaluación de controles
Jose Alvarado Robles
 
PPT
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
Financieros2008
 
PPT
Clase diecisiete 2011
tecnodelainfo
 
PPT
Clase Seis Control 2009
infosistemasuno
 
PPT
Seguridad Y Control De Los Sistemas De InformacióN
guest75288c
 
PPTX
Evaluación del desarrollo del sistema
gabych88
 
PDF
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Jack Daniel Cáceres Meza
 
DOCX
Herramientas de la administración de la seguridad
MBouvier2
 
Evaluación de controles
Jose Alvarado Robles
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
Financieros2008
 
Clase diecisiete 2011
tecnodelainfo
 
Clase Seis Control 2009
infosistemasuno
 
Seguridad Y Control De Los Sistemas De InformacióN
guest75288c
 
Evaluación del desarrollo del sistema
gabych88
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Jack Daniel Cáceres Meza
 
Herramientas de la administración de la seguridad
MBouvier2
 

La actualidad más candente (20)

PPTX
Auditoria de la seguridad logica
1416nb
 
DOCX
Herramientas de la administración de la seguridad
MBouvier2
 
DOC
Evaluacion De La Seguridad De Los Sistemas Informaticos
Vidal Oved
 
DOCX
Teoria de sistemas trabajo mro 2
enmanuel145
 
PDF
Politicas de seguridad de la Información - Trabajo Grupal
jose_calero
 
PPT
Software y hardware
enrybilz
 
PPTX
Control interno informatico
nehifi barreto
 
PPTX
Medidas de seguridad en los sistemas informaticos
Edgar Oswaldo Caballero Montes
 
PPTX
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
Orlando Bello
 
PDF
Check List Seguridad Informatica y Sistemas
Álex Picón
 
PPTX
Control del sistema de información
santy6a
 
PPTX
Administracion de la seguridad de las ti
MBouvier2
 
DOCX
Proyecto auditoria
CARLOS martin
 
PPTX
Control interno informatico (1)
alvarezjeffer
 
PPTX
Auditoría informática
maekma
 
PPTX
Sistemas Operativos
guest25798032
 
PDF
Cap 5 evaluación del proceso de datos y equipo de computo
Brian Alberto Sema Bravo
 
PPTX
Presentación electiva v
Fran Deivis Rojas Marcano
 
PPTX
Administracion de la seguridad de las ti
MBouvier2
 
PPTX
Administracion de la seguridad de las ti
MBouvier2
 
Auditoria de la seguridad logica
1416nb
 
Herramientas de la administración de la seguridad
MBouvier2
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Vidal Oved
 
Teoria de sistemas trabajo mro 2
enmanuel145
 
Politicas de seguridad de la Información - Trabajo Grupal
jose_calero
 
Software y hardware
enrybilz
 
Control interno informatico
nehifi barreto
 
Medidas de seguridad en los sistemas informaticos
Edgar Oswaldo Caballero Montes
 
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
Orlando Bello
 
Check List Seguridad Informatica y Sistemas
Álex Picón
 
Control del sistema de información
santy6a
 
Administracion de la seguridad de las ti
MBouvier2
 
Proyecto auditoria
CARLOS martin
 
Control interno informatico (1)
alvarezjeffer
 
Auditoría informática
maekma
 
Sistemas Operativos
guest25798032
 
Cap 5 evaluación del proceso de datos y equipo de computo
Brian Alberto Sema Bravo
 
Presentación electiva v
Fran Deivis Rojas Marcano
 
Administracion de la seguridad de las ti
MBouvier2
 
Administracion de la seguridad de las ti
MBouvier2
 
Publicidad

Destacado (9)

PPTX
Sia i cap7
Carlos Gonzalez
 
PPT
3 clasificacion de_la_materia
profesoraudp
 
PDF
Programa
Patricia Lopez
 
PPTX
Crear una presentacion
Cbas Tian RodRiguez
 
PPTX
Vanessa salazar antivirus que son y funcionamiento
Bellabell Bsc
 
PPTX
Tacto
Edwin Parejas Bolaños
 
PPTX
Sia i cap9
Carlos Gonzalez
 
PPTX
Sia i cap8
Carlos Gonzalez
 
PDF
Funda pro
redesapice
 
Sia i cap7
Carlos Gonzalez
 
3 clasificacion de_la_materia
profesoraudp
 
Programa
Patricia Lopez
 
Crear una presentacion
Cbas Tian RodRiguez
 
Vanessa salazar antivirus que son y funcionamiento
Bellabell Bsc
 
Tacto
Edwin Parejas Bolaños
 
Sia i cap9
Carlos Gonzalez
 
Sia i cap8
Carlos Gonzalez
 
Funda pro
redesapice
 
Publicidad

Similar a Sia i cap10 (20)

PPTX
Evaluación de controles
Jose Alvarado Robles
 
PPTX
RIESGOS, SEGURIDAD Y RECUPERACIÓN ANTE DESASTRES.pptx
ANDRESRICARDOLOPEZAF
 
PPT
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
Ximena Williams
 
PPT
Sig
Luzdari Ibarra
 
PPT
Sistemas Informacion Gerencial
guestfb90a7
 
PDF
Seguridad informática
Diego LLaque Vite
 
PPTX
Control interno (ci)
Jose Alvarado Robles
 
PDF
A3APSeguridad_soft_vision
UTZAC Unidad Académica de Pinos
 
DOCX
Proteccion y seguridad
Marly Gom
 
DOCX
Proteccion y seguridad
Marly Gom
 
PPT
Desarrollo y mantenimiento de sistemas
David Aguilar
 
PPT
Desarrollo y mantenimiento de sistemas
David Aguilar
 
PPTX
Si semana08 riesgos
Jorge Pariasca
 
PPT
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
Financieros2008
 
PPT
Desarrollo y mantenimiento de sistemas
xavisinho
 
PPT
Desarrollo y mantenimiento de sistemas
Jdm87
 
PPT
Desarrollo y mantenimiento de sistemas
Joha2210
 
PPTX
Diccionario informatico n.n
pableus232323
 
PPT
Administracion De Centro De Computo 1196127040455242 4
yeseniasarango
 
PPT
Administracion de centro de computo
Jaime Guerrero
 
Evaluación de controles
Jose Alvarado Robles
 
RIESGOS, SEGURIDAD Y RECUPERACIÓN ANTE DESASTRES.pptx
ANDRESRICARDOLOPEZAF
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
Ximena Williams
 
Sig
Luzdari Ibarra
 
Sistemas Informacion Gerencial
guestfb90a7
 
Seguridad informática
Diego LLaque Vite
 
Control interno (ci)
Jose Alvarado Robles
 
A3APSeguridad_soft_vision
UTZAC Unidad Académica de Pinos
 
Proteccion y seguridad
Marly Gom
 
Proteccion y seguridad
Marly Gom
 
Desarrollo y mantenimiento de sistemas
David Aguilar
 
Desarrollo y mantenimiento de sistemas
David Aguilar
 
Si semana08 riesgos
Jorge Pariasca
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
Financieros2008
 
Desarrollo y mantenimiento de sistemas
xavisinho
 
Desarrollo y mantenimiento de sistemas
Jdm87
 
Desarrollo y mantenimiento de sistemas
Joha2210
 
Diccionario informatico n.n
pableus232323
 
Administracion De Centro De Computo 1196127040455242 4
yeseniasarango
 
Administracion de centro de computo
Jaime Guerrero
 

Más de Carlos Gonzalez (7)

PPTX
Sia i cap6
Carlos Gonzalez
 
PPTX
Sia i cap5
Carlos Gonzalez
 
PPTX
Sia i cap4
Carlos Gonzalez
 
PPTX
Sia i cap4
Carlos Gonzalez
 
PPTX
Sia i cap3
Carlos Gonzalez
 
PPTX
Sia i cap2
Carlos Gonzalez
 
PPTX
Sia i cap1
Carlos Gonzalez
 
Sia i cap6
Carlos Gonzalez
 
Sia i cap5
Carlos Gonzalez
 
Sia i cap4
Carlos Gonzalez
 
Sia i cap4
Carlos Gonzalez
 
Sia i cap3
Carlos Gonzalez
 
Sia i cap2
Carlos Gonzalez
 
Sia i cap1
Carlos Gonzalez
 

Último (20)

PDF
Habitos de Ricos - Juan Diego Gomez Ccesa007.pdf
Demetrio Ccesa Rayme
 
DOCX
UNIDAD DE APRENDIZAJE 5 AGOSTO tradiciones
GabrielaCallupeGanoz
 
PDF
Escuelas Desarmando una mirada subjetiva a la educación
ingridhurtadovalenci
 
PDF
Didactica de la Investigacion Educativa SUE Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Metodologías Activas con herramientas IAG
Osman Villanueva
 
PDF
1. Intrdoduccion y criterios de seleccion de Farm 2024.pdf
SrGroah
 
PPTX
caso clínico iam clinica y semiología l3.pptx
EnriqueQuerales1
 
PDF
SESION 12 INMUNIZACIONES - CADENA DE FRÍO- SALUD FAMILIAR - PUEBLOS INDIGENAS...
LeslyAntonellaRicseM
 
PDF
IDH_Guatemala_2.pdfnjjjkeioooe ,l dkdldp ekooe
JosAngelLpezCrdova
 
PDF
ACERTIJO Súper Círculo y la clave contra el Malvado Señor de las Formas. Por ...
JAVIER SOLIS NOYOLA
 
PDF
2.0 Introduccion a processing, y como obtenerlo
Ram Vazquez
 
PDF
Conecta con la Motivacion - Brian Tracy Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Fundamentos_Educacion_a_Distancia_ABC.pdf
a2243810439
 
PDF
DI, TEA, TDAH.pdf guía se secuencias didacticas
claudializandro6
 
PDF
CONFERENCIA-Deep Research en el aula universitaria-UPeU-EduTech360.pdf
Andy Garcia Peña
 
PDF
Cronograma de clases de Práctica Profesional 2 2025 UDE.pdf
RicardoGermnRincn1
 
PDF
biología es un libro sobre casi todo el tema de biología
bolhfhdu
 
DOCX
V UNIDAD - SEGUNDO GRADO. del mes de agosto
MilberIta
 
PDF
Guia de Tesis y Proyectos de Investigacion FS4 Ccesa007.pdf
Demetrio Ccesa Rayme
 
DOCX
PLANES DE área ciencias naturales y aplicadas
AndrsForeroMaestre
 
Habitos de Ricos - Juan Diego Gomez Ccesa007.pdf
Demetrio Ccesa Rayme
 
UNIDAD DE APRENDIZAJE 5 AGOSTO tradiciones
GabrielaCallupeGanoz
 
Escuelas Desarmando una mirada subjetiva a la educación
ingridhurtadovalenci
 
Didactica de la Investigacion Educativa SUE Ccesa007.pdf
Demetrio Ccesa Rayme
 
Metodologías Activas con herramientas IAG
Osman Villanueva
 
1. Intrdoduccion y criterios de seleccion de Farm 2024.pdf
SrGroah
 
caso clínico iam clinica y semiología l3.pptx
EnriqueQuerales1
 
SESION 12 INMUNIZACIONES - CADENA DE FRÍO- SALUD FAMILIAR - PUEBLOS INDIGENAS...
LeslyAntonellaRicseM
 
IDH_Guatemala_2.pdfnjjjkeioooe ,l dkdldp ekooe
JosAngelLpezCrdova
 
ACERTIJO Súper Círculo y la clave contra el Malvado Señor de las Formas. Por ...
JAVIER SOLIS NOYOLA
 
2.0 Introduccion a processing, y como obtenerlo
Ram Vazquez
 
Conecta con la Motivacion - Brian Tracy Ccesa007.pdf
Demetrio Ccesa Rayme
 
Fundamentos_Educacion_a_Distancia_ABC.pdf
a2243810439
 
DI, TEA, TDAH.pdf guía se secuencias didacticas
claudializandro6
 
CONFERENCIA-Deep Research en el aula universitaria-UPeU-EduTech360.pdf
Andy Garcia Peña
 
Cronograma de clases de Práctica Profesional 2 2025 UDE.pdf
RicardoGermnRincn1
 
biología es un libro sobre casi todo el tema de biología
bolhfhdu
 
V UNIDAD - SEGUNDO GRADO. del mes de agosto
MilberIta
 
Guia de Tesis y Proyectos de Investigacion FS4 Ccesa007.pdf
Demetrio Ccesa Rayme
 
PLANES DE área ciencias naturales y aplicadas
AndrsForeroMaestre
 

Sia i cap10

  • 1. Administración del recurso Información Carlos González Lavado Universidad de Aconcagua
  • 2. Controles  Los Controles pueden ser:  Preventivos  Detectivos  Correctivos  Proactivos
  • 4. Controles Generales o de Integridad  Son procedimientos diseñados para asegurar que los programas computacionales funcionan adecuadamente.  Que las modificaciones a programas y datos son debidamente autorizados, y que su administración contribuye a lograr los objetivos y la misión de la empresa.
  • 5. Objetivos de los Controles Generales o de Integridad  Preservar los atributos de la información  Brindar apoyo competitivo  Mantener la continuidad y consistencia  Apoyar la eficiencia operativa  Mantener una cultura informática adecuada  Apoyar la protección del Patrimonio  Emplear los recursos TI adecuadamente
  • 6. CPD: centro de procesamiento de datos  Objetivo:  Apoyar a todas las demás funciones de la empresa u organización, para que logren los objetivos fijados por la Gerencia, usando la Tecnología Informática.  Organización:  Formal  Informal  Funciones o Actividades del C.P.D.  Desarrollo  Mantención  Control de Calidad  Operaciones  Explotación  Ingreso de Datos
  • 7. Desarrollo  Función de desarrollo: (estructura).
  • 14. Organización  Los Controles de Organización se refieren a la segregación de funciones y a la responsabilidad por el control.  Están diseñados para asegurar que la organización del C.P.D., su Hardware, su Software y sus Recursos Humanos están al servicio de la empresa y tienen la debida protección.
  • 15. Organización  Segregación: Se debe mantener la separación de los usuarios que autorizan una transacción, de aquellos que la ejecutan y/o la registran; de los que crean programas computaciones (aplicaciones) de aquellos que operan dichos sistemas, como de los que ejecutan los mismos.
  • 16. Segregación  Se trata entonces de evitar la concentración de funciones en una sola persona, disminuyendo el riesgo que ello significa.  En los sistemas manuales, el control por segregación consiste en separar las cuatros funciones primarias a saber:  Autorización  Ejecución  Registro  Mantenimiento
  • 17. Segregación  Los Sistemas Computacionales ejecutan las funciones de autorización, ejecución y registro simultaneamente, lo que incide en buscar alternativas de control que permitan compensar la ausencia de la segregación de funciones.
  • 18. Responsabilidad del Control  Cada usuario debe tener muy claro de la autoridad que le ha sido delegada y la responsabilidad que ésto conlleva.  Esto significa que la responsabilidad de un usuario, de un Jefe de Proyecto, de un Analista, de un Programador y/o de un Oficial de Seguridad, deben estar muy claras, para evitar errores, irregularidades y cualquier atentado contra la empresa.  No olvidarse que la responsabilidad no se delega.
  • 19. Hardware  Se debe tener control sobre los siguientes aspectos del Hardware:  Acceso Físico:  Debe existir protección al acceso a la sala donde funciona el equipo computacional y sus periféricos. Esto es válido para el hardware en poder de los usuarios.
  • 20. Hardware  Registro de Mantenimiento:  El Hardware cada vez es más confiable, pero debe tener un mantenimiento preventivo que debe realizarse con cierta frecuencia. Para ello es conveniente llevar una bitácora de mantenimiento, donde se registre cada reparación o acción preventiva, pudiendo con ello determinar frecuencia de errores y corrección de la prevención.
  • 21. Hardware  Medio Ambiente:  A pesar que el hardware está más protegido, no debe descuidarse el polvo del medio ambiente, los niveles de humedad y las fluctuaciones en la temperatura ambiental.  Protección de Energía:  La fuente de energía debe estar protegida a las variaciones y a los cortes accidentales con estabilizadores y UPS.  Las variaciones sobre el 10% del voltaje por ejemplo, puede causar errores de procesamiento e inclusive dañar la CPU, la Memoria y/o los circuitos integrados.
  • 22. Implementación  Están diseñados para asegurar que los procedimientos programados son: Una respuesta a una idea o una solución a un problema, de acuerdo a procedimientos preestablecidos. Adecuados a los requerimientos de la empresa y de los usuarios. Se construyen con una metodología adecuada y son debidamente documentados. Adecuadamente implementados. Autorizadas las modificaciones a programas en operaciones, cumpliéndose los objetivos precitados.
  • 23. Implementación  Se clasifican en:  Necesidad del sistema.  Desarrollo del sistema.  Mantención del sistema.
  • 24. Necesidad del sistema  Procedimiento de inicio de un sistema  Estudio de Factibilidad  Informe Comité de Informática
  • 25. Desarrollo del sistema  Análisis y Diseño  Construcción (prueba de programas)  Implementación (Catalogación y prueba paralela).
  • 26. Mantención del sistema  Procedimiento de Modificación de un Sistema  Procedimiento de Emergencia (fuera de horario)
  • 27. Seguridad del sistema  Están diseñados para asegurar que: Cambios no autorizados puedan ser hechos a programas en explotación ni a sus datos.  Exista un procedimiento para autorizar las modificaciones a los programas.  Programas y datos en línea, deben estar pro- tegidos contra modificaciones no autorizadas.  Programas y datos fuera de línea, deben además estar custodiados físicamente.
  • 28.  Están diseñados para asegurar que: Operación del computador Los sistemas funcionan continuamente en forma consistente. Las operaciones se realizan de acuerdo a lo planeado. Los datos utilizados son los apropiados. La continuidad de las operaciones está asegurada. (Recuperación y Respaldos) Custodia física de programas y datos
  • 29. Planificación y Preparación de los trabajos  Los programas y datos a utilizar, deben estar definidos por los usuarios (Planificación)  Operaciones debe poner a disposición de los usuarios los programas y los datos de acuerdo a lo planificado.  Deben existir procedimientos para evitar el uso de archivos y tablas no adecuadas.
  • 30. Programas de Operación y Operación del computador  Uso del los lenguajes de control de tareas para automatizar la operación del computador y disminuir los errores en los procesos.
  • 31. Procedimientos de Recuperación y Respaldos  Facilidades para recomenzar un proceso en el punto de interrupción.  Sistemas de Respaldos (Backup) de acuerdo a la dependencia de la T.I.  Plan de Contingencias y Recuperación de Desastres.
  • 33. SEGURIDAD DE COMUNICACIONES  Están diseñados para asegurar que: El acceso a los sistemas se hace por personas autorizadas.  Confidencialidad  Autenticidad  Integridad  Garantía de No repudio o rechazo (negar que cierta transacción tuvo lugar)  Cualquier acceso no autorizado es detectado, como las modificaciones no autorizadas.
  • 35. Criptología Criptología
  • 36. Elementos del sistema criptográfico
  • 39. Funcionamiento  Consideraciones a tener presente:  Alicia y Beto debe convenir en un algoritmo a usar en sus comunicaciones.  Alicia y Beto deben compartir en forma segura la llave: Usando un medio de transporte físico privado Usando algun otro medio seguro  Ventajas de este método:  Es relativamente simple  Desde el punto de vista técnico es eficiente.
  • 40. Ejemplos de Algoritmos Ejemplo de Algoritmos:  DES (Data Encryption Standard) Tamaño de llave: 40 y 56 bits  Triple DES Tamaño de llave: 112 a 168 bits Mayor seguridad que DES  Blowfish Tamaño de llaves de 32 a 448 bits Requiere pocos recursos Muy rápido
  • 41. Ejemplos de Encription Algorithm)  IDEA (International Data Algoritmos  Tamaño de llaves: 128 bits  Requiere mucho procesamiento  RC5  Tamaño de llave: hasta 255 caracteres  Requiere pocos recursos, pero es lento.  Configuración flexible por parámetros  CAST-128  Tamaño llave: entre 5 y 15 caracteres  Algoritmo extensamente revisado por criptoanalistas  RC2  Tamaño llave de 8 a 1024 bits  Usado en microprocesadores de 16 bits
  • 42. Funcionamiento  Criptografía asimétrica  Son algoritmos que utilizan llaves diferentes (relacionadas entre si), para realizar la encriptación y desencriptación. Esta metodología se usa normalmente para la firma digital, como también para el intercambio de llave simétrica. Estas llaves se les conoce como: Llave Pública  Llave Privada
  • 43. Criptografía asimétrica  Características del Sistema Mensaje encriptado con la llave pública, la llave privada lo desencripta y viceversa.  La seguridad se basa en la imposibilidad de calcular una llave, a partir de la otra.  También se basa la seguridad, en mantener la llave privada como “secreta” (personal), y de mantener la relación con la llave pública en forma confiable.
  • 44. Criptografía asimétrica  Propiedad de las llaves: Los pares de llaves son identificados o asociados con personas o con entidades.  La propiedad de las llaves públicas, es publicada y conocida por todos aquellos que les incumbe el mensaje.  La llave privada es “secreta” y debe quedar bajo la responsabilidad del dueño o responsable del mensaje.
  • 48. Ejemplos algoritmos  Ejemplos de Algoritmos Asimétricos: RSA Es uno de los algoritmos más usados, transformándose en el estándar de facto para la firma digital.  DSS (Digital Signature Standard) Se usa sólo para firma digital
  • 49. Ejemplos algoritmos  ECC (Elliptic Curve Cryptosystem) Matemáticamente más complicado que RSA  Similar nivel de seguridad  Necesita menos procesamiento a igual tamaño de claves que RSA.  Algunas Consideraciones: Las llaves son típicamente números primos de 1024 bits o superiores.  A mayor tamaño de llaves, sistema más seguro.  Los procesos de Encriptado y Desencriptado, involucran cálculos exponenciales con las llaves, limitando la funcionalidad del sistema por su lentitud.
  • 51. Firma digital  Permite verificar el origen y la integridad del mensaje recibido. Permite asegurar que el mensaje recibido, proviene del emisor, quién no podrá negar su autoría => “NO REPUDIO” El NO REPUDIO pasa a ser un objetivo de la combinación de criptografía y firma digital
  • 52. Sistema operativo  Control de Administración de la Seguridad  Establecer Objetivos de Seguridad  Evaluar los riesgos de Seguridad  Oficial de Seguridad   Perfil de Usuario  Control de Identificación  Control de Autenticidad  Control de Acceso de Terminales y/o Externo   Monitoreo Sistema Seguridad  Registro de las Operaciones (LOG)  Programas Ad-Hoc de Seguridad Activa