Riesgos De Información

Objetivo:

Conocer sobre el tema de riesgos de información y sus aspectos mas importantes.

Procedimiento:

1. Analizar tema de riesgos de información.

2.Resaltar ideas importantes.

3. Añadir imagen referente al tema.

4. Redactar conclusiones.

Resultados:

Controles físicos y ambientales en la seguridad de la información

Los riesgos ambientales se deben principalmente a acontecimientos que ocurren derivados de actos naturales. Los controles ambientales están descritos a continuación:

• Detectores de agua.

• Panel de control de alarmas.

• Extintores

• Detectores de humo.

• Protectores de voltaje.

• Alambrado colocado en los paneles eléctricos.

• Alarmas manuales de incendios.

• Probados de evacuación de emergencia.

Auditoría en la seguridad de la información

Cuando se evalúan los controles de acceso lógico, el auditor de SI debe:

• Documentar y evaluar los controles sobre las vías posibles de acceso a los sistemas de información

• Obtener un entendimiento de los riesgos de seguridad

• Probar los controles sobre las vías de acceso

• Evaluar el ambiente de seguridad.

Algunas técnicas para probar la seguridad son las siguientes:

• Identificación de terminales. El auditor puede trabajar con el administrador de la red para obtener información de las direcciones y ubicaciones de las terminales. Posteriormente, el auditor de SI puede usar esta lista para inventariar las terminales.

• Identificadores de inicio de sesión y contraseñas. Para probar la confidencialidad, el auditor puede tratar de adivinar la contraseña de una muestra de Logon-IDs.

• Uso de tarjetas y llaves para el uso de terminales. El auditor de SI puede tomar una muestra de estas tarjetas o llaves y tratar de entrar a los sistemas.

• Seguimiento a intentos de violación fallidos. También el auditor de SI querrá saber si el administrador de seguridad dio seguimiento a algún intento fallido de violación.

• Probar los Logon-IDs y las contraseñas inactivas que están no habilitadas o han sido borradas, el auditor de SI debe obtener una lista de los Logon-IDs activos. Con base en una muestra, el auditor debe comparar esta lista con los empleados actuales en ese momento; en busca de Logon-IDsasignados a empleados o consultores que ya no trabajan con la compañía.

• Probar la sintaxis o diseño de las contraseñas, el auditor de SI debe tratar de crear contraseñas en un formato no válido, demasiado corto, demasiado largo, repetición de contraseñas anteriores, una mezcla incorrecta de caracteres alfabéticos o numéricos, uso de caracteres no apropiados.

• Probar si hay Logoff automático de las computadoras no atendidas, el auditor de SI debe conectarse a varias terminales. El auditor de SI luego espera sencillamente que las terminales se desconecten después del intervalo de tiempo establecido.

• Probar si hay desactivación automática de las terminales después de intentos infructuosos de acceso, el auditor de SI debe tratar de conectarse, introduciendo intencionalmente la contraseña equivocada un determinado número de veces. ElLogon-ID deberá desactivarse después de que haya introducido el número establecido de contraseñas inválidas. El auditor estará interesado en verificar el procedimiento seguido por el administrador de seguridad para activar el Logon-ID.

El auditor de SI debe hacer un recorrido de las áreas de trabajo de los usuarios finales y de los programadores y verificar si existen contraseñas pegadas a los lados de las terminales,

Conclusión:

Cada empresa debe de contar con barreras o controles físicos para los posibles riesgos de información

...