Presentación de PowerPoint · funcionales y financieros para los negocios. Problemas en los...
54
Universidad Interamericana Grupo 4 SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
Transcript of Presentación de PowerPoint · funcionales y financieros para los negocios. Problemas en los...
Universidad Interamericana
Grupo 4
SEGURIDAD Y CONTROL DE
LOS SISTEMAS DE
INFORMACIÓN
María Victoria
Objetivos
1. Analizar la vulnerabilidad de los sistemas de
información a problemas de destrucción, error,
abuso y de calidad del sistema.
2. Conocer los tipos de controles disponibles para los
sistemas de información.
3. Estudiar las medidas especiales a tomarse para
garantizar la confiabilidad, disponibilidad y
seguridad del comercio electrónico y los procesos
digitales de negocios.
4. Evaluar las técnicas más importantes para
garantizar la calidad del software.
5. Investigar la importancia de los sistemas de
información de auditoría y la protección de la
calidad de los datos.
Introducción
Retos de Negocios
T SI S
A
O
Administración
Organización
Sistema de
Información
Soluciones
de Negocios
Minimizar
los costos
del tiempo
fuera de
servicio
Operaciones
cruciales
subordinadas a
computadoras y
sistemas de
comunicación
Clientes
Empleados
Procedimientos
de recuperación
en caso de
desastre.
.
Monitorear
niveles de
servicio.
Desarrollar
plan de
contingencia.
Sitio de
respaldo
Asegurar servicio
ininterrumpido
Asegurar el
procesamiento
contínuo de
transacciones
Tecnología
Retos de la Administración
Diseñar sistemas
que no estén
sobre controlados ni
sub.-controlados
Aplicar estándares
para garantizar la
calidad en grandes
proyectos de
sistemas
Tomar medidas
especiales para
proteger sus
sistemas de
información
Las violaciones y daños a la seguridad
siguen siendo realizados por personas
dentro de la organización.
Las violaciones a la seguridad desde
fuera de la organización están
aumentando por los intrusos a través
de Internet.
Es difícil determinar en que grado
deben exponerse o cerrarse para
protegerse.
Es imposible alcanzar la meta
de cero defectos en piezas
complejas del software.
Aún cuando se puede tener un
diseño meticuloso los
proyectos de software tienen
restricciones de tiempo y
presupuesto.
Vulnerabilidad y Abuso del Sistema
Por qué son vulnerables los sistemas?
Los datos guardados de forma electrónica son más vulnerables a
muchos más tipos de amenazas que cuando están en formato manual.
FuegoFalla del hardware
Falla del software Problemas eléctricos
Acciones del personal Errores del usuario
Penetración de acceso a terminales Cambios de programa
Amenazas a los Sistemas de Información Computarizados
Robo de datos, de servicios o de
equiposProblemas de telecomunicación
Radiación
INTERVENCIONES
Radiación
Radiación
Diafonía
Centro de
conmutaciónProcesador
INTERVENCIONES
Diafonía
Líneas de
comunicación
Radiación
Radiación
Robo
Copia
Acceso no
autorizado
Archivos
Usuario
Identificación
Autenticación
Modificaciones
sutiles al software
Consolas
remotas
Acceso
Conexión de dispositivos de
grabación
Errores de programación
Hardware
Conexiones inadecuadas
Programador de sistemas
Deshabilita características de protección
Revela medidas de protección
Operador
Reemplaza al supervisor
Revela mdidas de
protrección
Personal de Mantenimiento
Deshabilita dispositivos de hardware
Utiliza programas de utilerías
independientes
Software
Falla de las característicss de
protección
Control de acceso
Control de límites
Hardware
Falla de los circuitos de
protección contribuye a
las fallas de protección
Hackers y Virus de Computadora
Que es un
hacker?
Persona que obtiene acceso
no autorizado a una red de
computación para obtener
provecho, realizar actos
delictivos o por placer
personal
Ataque de
denegación
de servicios
Sobresaturación de un
servidor de red o de la Web
con mensajes o solicitudes de
servicios falsos para saturar
la red.
EJEMPLOS DE VIRUS DE COMPUTADORA
Nombre del virus Descripción
Virus de macros que existen dentro de programas ejecutables
llamados macros. Concept, Melissa
Code Red, NimdaVirus de tipo "gusano" que llegan adjuntos al correo electrónico y se
extienden de computadora en computadora.
Un virus "de muchas partes" que puede infectar los archivos así como
el sector de arranque de la unidad de disco duro.
I LOVE YOU (el bicho del
amor)
Virus de secuencia de comandos escrito en lenguajes de
programación como VBScript o JavaScript. Sobreescribe los
archivos jpg y mp3.
MonkeyHace que parezca que el disco duro ha fallado porque correrá al
ejecutarse Windows.
FormHace un sonido de clics con cada teclazo pero solo en el
decimoctavo día del mes.
ChernobylVirus que infecta archivos. Borra la unidad de disco duro de una
computadora y el BIOS de la ROM
Junkie
Preocupaciones de Constructores
y Usuarios de Sistema
¿Porqué la
Preocupacion ?
Tecnología y
servicios de
internet
La elevada vulnerabilidad de los datos
automatizados ha creado preocupaciones
especiales entre los constructores y los
usuarios de sistemas de información.
Entre estas preocupaciones están los
desastres, la seguridad y los errores
administrativos.
Internet se basa en la tecnología
cliente/servidor. Los individuos que
usan Internet controlan sus actividades
mediante aplicaciones de cliente como
el software para navegar en la Web.
Actualmente las plataformas cliente
incluyen no solamente PCs y otras
computadoras sino también una amplia
gama de dispositivos portátiles e
instrumentos de información, algunos
de los cuales proporcionan incluso
acceso inalámbrico a Internet.
SISTEMA
Usuario
Preocupaciones de Constructores y
Usuarios de Sistemas?
Desastres
• El hardware
• Programas
• Archivos de datos
• Otro Equipo
Errores
• Destruir registros
• Desestabilizar
operaciones
Seguridad
• Las políticas
• Procedimientos
• Medidas Técnicas
Preparación
de datos
Llenado de formulariosIntroducción de
datos en línea
Perforación de tarjetas
Escaneo óptico
Otro tipo de entrada
Transmisión
Conversión
Salida
Transmisión
Distribución
Procesamiento
Mantenimiento de
archivos
Validación
Puntos en el ciclo de
procesamiento donde
pueden ocurrir los errores.
En cada uno de estos
puntos deben establecerse
procedimdientos
especiales.
Problemas de
Calidad del Sistema:
Software y Datos
Errores de Programación:
Defectos o errores en el
código de los programas.
Errores de programación y defectos
La presencia de errores de programación
ocultos o defectos en el código de los
programas han demostrado que es casi
imposible eliminarlos en los programas
grandes. La meta de cero defectos perseguida
por la calidad total no se puede lograr en los
programas muy grandes.
El mantenimientoEl mantenimiento del software que ya está en
uso es otra razón de que los sistemas se
hagan inestables. Esta es la fase más costosa
del proceso de desarrollo de sistemas.
Calidad de datosLa fuente más común de fallas en los sistemas
de información es la deficiente calidad de los
datos. Datos inexactos, inoportunos o
inconsistentes con otras fuentes de
información pueden crear graves problemas
funcionales y financieros para los negocios.
Problemas en los sistemas
6
5
4
3
2
1
0
Estimación de los costos relativos de reparar errores
basada en los informes de consultores y en la
literatura popular de negocios
Análisis y Diseño Programación Conversión Implementación posterior
EJEMPLOS DE PROBLEMAS DE CALIDAD DE DATOS
Problema de calidad de datosOrganización
Supermercados Varios estudios han establecido que de 5 a 12% de ventas por código de barras
en los supermercados detallistas son erróneas y que el coeficiente promedio de
las ocasiones que se cobra más em comparación con las que se cobra menos
es de 4:1.
Paint Bull Encontró que casi la mitad de nombres de sus listas de correo de clientes
probables era inexacta u obsoleta. Perdió 10 dólares por cada paquete
promocional de vídeos y catálogos que se le devolvieron por no haber podido
entregarse.
F. B. I. Un estudio de los sistemas de fichas delictivas computarizadas del FBI
encontró que un total de 54.1% de los registros en el sistema del Centro
Nacional de Información sobre el crimen era inexacto, ambiguo o estaba
incompleto.
Las bases de datos contenían caracteres "basura" en el campo destinado al
código postal porque los empleados no tenían las direcciones correctas de los
clientes.
Royal Bank of Canada
Sears Roebuck No pudo realizar eficazmente ventas cruzadas entre sus clientes porque cada
uno de sus negocios, incluyendo el de menudeo, servicios domésticos, crédito y
su sitio Web, tenían sus propios sistemas de información con diferentes datos
del cliente.
Ejemplos de Problemas de Datos
Ramiro De la Rosa
Creación De Un Entorno
De Control
• Los sistemas de información computarizados son
vulnerables a la destrucción, mal uso, error, fraude
y fallas de hardware y software. Para minimizar
estas situaciones se deben establecer medidas
manuales y automatizadas para salvaguardar los
sistemas de información y asegurar que se
desempeñen según los estándares de la
administración, esto se conoce como controles.
Creación De Un Entorno
De Control
Definición:
CONTROLES: consisten en todos métodos,
políticas y procedimientos que salvaguardan
los activos de la organización, la exactitud y
confiabilidad de sus registros contables y el
apego de sus operaciones según los
estándares que defina la administración.
Creación De Un Entorno
De Control
Definición según COSO:
El control interno se define ampliamente
como un proceso realizado por la consejo de
directores, administradores y otro personal
de la entidad, diseñado para proporcionar
seguridad razonable mirando el
cumplimiento con los objetivos en las
siguientes categorías:
Creación De Un Entorno
De Control
Continuación:
• Efectividad y eficiencia de las operaciones.
• Confiabilidad de la información financiera.
• Cumplimiento con las leyes y regulaciones
aplicables.
Todas ellas cumplen con un objetivo.
Creación De Un Entorno
De Control
Controles Generales y Controles de Aplicaciones.
Controles generales: Controlan el diseño, la seguridad y el uso de programas de cómputo a lo largo de la organización.
Los controles generales incluyen: Controles de software, controles de hardware, controles de seguridad de datos y controles
Creación De Un Entorno
De Control
Protección de la empresa digital
En un entorno de empresa digital, las
infraestructuras de tecnología de la
información deben proporcionar un nivel
continuo de disponibilidad de servicio a
traves de plataformas de computación
distribuida. Para alcanzar estos objetivos
muchas han establecidos sistemas de
Creación De Un Entorno
De Control
Protección de la empresa digital
de computo con tolerancia a fallas para
garantizar una disponibilidad 100%.
Detallamos algunos de estos sistemas:
Procesamiento de transacciones en líneas.
Sistemas de cómputo con tolerancia a
fallas.
Creación De Un Entorno
De Control
Protección de la empresa digital
• Cómputo de alta disponibilidad.
• Plan de recuperación en caso de desastres.
• Balaceo de cargas.
• Duplicación de discos.
• Agrupación.
• Proveedor de servicios administrativos.
Creación De Un Entorno
De Control
RETOS A LA SEGURIDAD DE INTERNET
El cómputo de alta disponibilidad también requiere
una infraestructura de seguridad para el comercio
electrónico y los negocios en línea.
Hay dos tipos principales de tecnología de servidor
de seguridad: los proxys y los servidores de
inspección completa del estado.
Creación De Un Entorno
De Control
RETOS A LA SEGURIDAD DE INTERNET
Además existen los sistemas de detección de
intrusos que son herramientas para
monitorear los puntos más vulnerables en
una red, para detectar y detener a los
instrusos no autorizados.
Creación De Un Entorno
De Control
SEGURIDAD Y COMERCIO ELECTRÓNICO
La seguridad de las comunicaciones
electrónicas es un importante problema de
control para las compañías que practican el
comercio electrónico. A continuación
detallamos algunas prácticas utilizadas
procedimientos de seguridad de la
información:
Creación De Un Entorno
De Control
SEGURIDAD Y COMERCIO ELECTRÓNICO
• Encriptación.
• Autenticación.
• Integridad del mensaje.
• Firma digital.
• Certificación digital.
Napoleòn de Bernard
Criterios para
determinar
la calidad de
control
Desarrollo de una
Estructura de Control
Importancia de
sus datos
Eficacia, Complejidad
y Gastos en técnicas
Nivel de Riesgo
Seguridad y Control de Los Sistemas de Información
ExposicionProbabilidad de
Ocurrencia (%)
Rango / Promedio de
Perdida ($)
Perdida Anual
Esperada ($)
Falla de energia 305,000 - 200,000
(102,500)30,750
Desfalco 51,000 - 50,000
(25,000)1,275
Error de usuario 98200 - 40,000
(20,100)19,698
EVALUACION DEL RIESGO DEL
PROCESAMIENTO DE PEDIDOS EN LINEATABLA 14 - 6
El Rol de la Auditoria
en el Proceso de Control
Auditoria de MIS, identifica todos los controles
que gobiernan los sistemas de información
individuales y determina su efectividad.
•Función de Operaciones
•Instalaciones Físicas
•Telecomunicaciones
•Sistemas de Control
•Objetivos de seguridad de datos
•Estructura Organizacional
•Personal
•Procedimientos Manuales
•Aplicaciones Individuales
El Rol de la Autoría en el Proceso de ControlFuncion: Prestamos personales________
Ubicacion: D.F., Mexico______________
Efecto en los
procedimientos de
auditoria
Si / No Justificacion Ajuste requeridoFecha de
informe
Respuesta a la
administracion
No hay auditorias regulares de
los datos generados por la
computadora (cargos por
intereses)
Si Sin una auditoria regular o
una verificacion razonable, los
calculos erroneos se podrian
extender antes de que se
detectaran los errores.
Se instituiran
auditorias
periodicas de
prestamos.
Se pueden poner programas
en las bibliotecas de
produccion para cumplir los
plazos establecidos sin la
aprobacion final del grupo de
estandares y controles.
No Todos los programas requieren
autorizacion de la
administracion. El grupo de
estandares y controles controla
el acceso a todos los sistemas
de produccion y asigna tales
casos a estados temporales de
produccion.
Preparado por:___________J. Enriquez______________
Fecha de preparacion____10 de enero de 2004_______
Preparado por:___________J. Enriquez_________________
Fecha de revision________22 de enero de 2004__________
Naturaleza de la debilidad e
impacto
Los registros de reembolso de
prestamos no se concilian con
los registros del presupuesto
durante el procesamiento.
Si Sin un control de deteccion,
los errores en los saldos de un
cliente individual pueden
permanecer sin detectarse.
Probabilidad de error sustancial Notificacion de la
Administracion
Confirmar una
muestra de
prestamos
05/12/2003
05/12/2003
El informe de
comparacion de
la tasa de
intereses
proporciona este
control
Auditoria de MISIdentifica todos los controles que gobiernan a los
sistemas de información individuales y determina su
efectividad.
Un auditor entrevista a individuos clave que usan y
operan un sistema de información especifica respecto a
sus actividades y procedimientos. Con frecuencia, el
auditor da seguimiento al flujo de una muestra de
transacciones a través del sistema y realiza pruebas
usando software de auditoria automatizada.
Garantía de la Calidad del Sistema
1. Metodologías estructuradas.
2. Análisis estructurado.
3. Diseño estructurado.
4. Programación estructurada.
5. Limitaciones de los métodos tradicionales.
6. Herramientas y metodologías para el desarrollo orientado
a objetos.
7. Ingeniería de software asistida por computadora.
8. Asignación de recursos durante el desarrollo de sistemas.
9. Métrica del software.
10.Pruebas.
Metodología Estructuradas
Conjunto de
métodos, uno o más
para cada actividad
dentro de cada fase
de un proyecto de
desarrollo.
Metodología de
Desarrollo
Se refiere al hecho de
que las técnicas se
bosquejan
cuidadosamente, paso
a paso: cada paso se
construye con base en
el anterior.
Estructuradas
Carlos Franco
Metodología Estructuradas
• Análisis Estructurado: Método para definir entradas y salidas del sistema y para particionar los sistemas en subsistemas o módulos.
• Diagrama de flujo de datos (DFD):
Herramienta primaria para el análisis estructurado que ilustra gráficamente los procesos y flujo de datos entre ellos.
Administración de los
Sistemas de Información en la
Empresa Digital
Estudiante
Cursos
solicitados
Carta de
confirmación
3.0
Confirmar
Registro
Registro
2.0
Inscribir al
estudiante
1.0
Verificar
disponibilidad
Detalle de
cursos
Archivo de cursos
Matriculación
al curso
Archivo maestro
de estudiantes
Especificaciones de
proceso
Describen la lógica de los
procesos que ocurren
dentro de los niveles más
bajos de un diagrama de
flujo de datos
Administración de los Sistemas de
Información en la Empresa Digital
Documentación del
sistema que muestra
cada nivel de diseño, la
diferencia entre los
niveles y el lugar en la
estructura total del
diseño: puede
documentar un
programa, un sistema o
parte de un programa.
Gráfica de
estructura
Disciplina de diseño
de software que
comprende un
conjunto de reglas y
técnicas de diseño
para diseñar sistemas
descendentes en
forma jerárquica.
Diseño
estructurado
Gráfica de Estructura de Alto Nivel
Proceso de
nómina
Obtener
entradas
válidas
Calcular
pagosEscribir
salidas
Obtener
entradas
Validar
salidas
Calcular
pagos
brutos
Calcular
pagos
netos
Actualizar
el archivo
maestro
Escribir
cheques,
informes y
archivos de
resultados
Programación Estructurada
Disciplina para organizar y
codificar programas que
simplifican las rutas de control
para que los programas se
puedan entender y modificar
fácilmente: usa las estructuras
básicas de control que tienen
solo un punto de entrada y de
salida.
Programación
estructurada
Unidad lógica de un
programa que desempeña
una o varias funciones
módulo
Estructura de
secuencia
Los pasos o acciones
secuenciales individuales en
la lógica de un programa que
no dependen de la existencia
de cualquier condición.
Estructura de
selecciónPatrón lógico de
programación en el que
una condición
establecida determina
cual de dos acciones
alternativas se puede
tomar.
Estructura de
IteraciónPatrón lógico de programación en el que
se repiten cieras acciones mientras
ocurra una condición especificada o
hasta que se cumpla cierta condición.
Metodología y Herramientas para
Garantizar la Calidad del Software
• Limitaciones de los métodos tradicionales:
Son valiosos, pero pueden ser inflexibles y
consumidores de tiempo. Se requiere la
terminación del análisis estructurado antes se que
empiece el diseño y la programación.
• Lenguaje de modelado unificado (UML):
Metodología estándar de la industria para el
análisis y diseño de un sistema de software
orientado a objetos.
Raúl Arroyo
Ingeniería de Software asistida por
computadora (CASE)
EN GENERAL, LAS HERRAMIENTAS CASE TRATAN DE
AUMENTAR LA PRODUCTIVIDAD Y LA CALIDAD HACIENDO LO
SIGUIENTE:
1. Aplican una metodología de desarrollo estándar e imponen
disciplina en el diseño.
2. Mejoran la comunicación entre los usuarios y los
especialistas técnicos.
3. Organizan y correlacionan los componentes de diseño y les
proporcionan acceso rápido a través de un repositorio de
diseños.
4. Automatizan las partes tediosas y propensas a error del
análisis y el diseño.
5. Automatizan la generación de código, prueba y extensión
de control.
Visible Analyst
Visible Analyst es una
herramienta para automatizar el
análisis y diseño orientados a
objetos. Se ilustran ejemplos de
diagramas de casos de uso y
diagramas de secuencia.
Ingeniería de Software Asistida por
Computadora (CASE)
CASE – La herramientas CASE
para generar y validar los
diagramas de entidad-relación y
los diagramas de flujo de datos.
Dichas herramientas facilitan la
creación de especificaciones de
diseño claras y exactas y la
coordinación de esfuerzos de
desarrollo del equipo.
Seguridad y Control de Los Sistemas
de Información
Determinación de
cómo se asignan
costos, tiempo y
personal a las diversas
fases de un proyecto
de desarrollo de
sistemas.
Asignación de
Recursos
Evaluación objetiva
del software utilizado
en un sistema en
forma de medidas
cuantificadas.
Métrica de
Software
Seguridad y Control de Los Sistemas
de Información
Revisión Superficial (walkthrough)
Revisión de una especificación o
documento de diseño por un grupo
pequeño de personas
cuidadosamente seleccionadas,
con base en las habilidades
necesarias para los objetivos
particulares que se han de probar.
Depuración
Proceso de descubrir y eliminar
errores y defectos de programación
– los bugs – en el código del
programa.
Pruebas
Análisis de Auditorías de Calidad de
Datos y Depuración de Datos
1. Examinando la percepción de calidad de
datos por parte de los usuarios finales.
2. Examinando totalmente los archivos de
datos.
3. Examinando muestras de los archivos
de datos.
Análisis de Auditorías de Calidad de
Datos y Depuración de Datos
Trillium proporciona software para
depuración de datos, identificación
de datos de clientes y combinación
de relaciones. Aquí se ilustra su
capacidad para poner los números
del seguro social de formatos
dispares en un solo formato
estandarizado.
CONCLUSIONES
¡MUCHAS GRACIAS!
