Proteccin de los Activos Informticos

http://www.fundacionosde.com.ar/pdf/biblioteca/Sistemas_de_informacion_en_la_era_digitalModulo_II.pdf

La vulnerabilidad de los sistemas informticos y la gravedad de las consecuencias de desastres y fraudes crecen en forma alarmante da a da. Las prdidas mundiales denunciadas y originadas en daos a sistemas informticos se calculan en varios centenares de millones de dlares por ao. Sin embargo, esta cifra slo representa la punta del iceberg, pues las empresas como bancos, financieras y compaas de seguros jams llegan a denunciar muchos fraudes y/o accidentes, ya que la prdida de confianza y prestigio podra resultarles muy perjudicial. A medida que las organizaciones han ido consolidando las funciones de procesamiento de datos e integrando ms elementos de su negocio en dispositivos de computacin interdependientes, la subsistencia de las operaciones resulta poco menos que impensable sin las computadoras. Las empresas de hoy dependen estrechamente de grandes archivos computadorizados, lneas de comunicacin y emplazamientos especficos de equipos de computacin. Y esta dependencia aumenta en progresin geomtrica. Por otro lado, la proliferacin de la computadora hogarea y personal, as como la profusa difusin de publicaciones sobre el tema, estn haciendo emerger una generacin de expertos para quienes las medidas de seguridad no son ms inviolables que las cerraduras de las puertas de un automvil. En consecuencia, el problema debe quedar claramente expuesto: incendios, inundaciones, terremotos, daos intencionales, fraudes, fallas elctricas y otros fenmenos similares podran bastar, cualquiera de ellos por s slo, para generar una grave crisis, no solamente en el mbito de una organizacin, sino en el de todo un mercado de alcance regional. Si bien los violadores externos llaman mucho la atencin, los internos son responsables de la mayor parte de los problemas, no slo por la accin de empleados deshonestos, sino tambin por la de los errores cometidos en el no deliberado desempeo de sus tareas. A medida que se avanza en la automatizacin de oficinas, debemos aumentar nuestra preocupacin por protegernos de nosotros mismos. Aun cuando los desastres y delitos informticos no son nuevos, y los sistemas de proteccin y seguridad se encuentran disponibles, un alarmante nmero de sistemas de computacin todava no cuenta con ninguna seguridad. La falta de

conciencia sobre la necesidad de considerar estos riesgos potenciales obedece a una variedad de causas. Por otra parte, tanto la legislacin como las pautas habituales de comportamiento responsabilizaran gravemente, por ejemplo, a quien dejara una caja de caudales imprudentemente abierta, pero no daran mayor importancia al hecho de que esa misma persona abandonara sobre un escritorio un disquete con informacin valiosa acerca de los clientes de la empresa, y cuyo valor patrimonial y estratgico puede ser muy superior al dinero en caja. sta es una manifestacin, adems, de otra causa de la desproteccin de la informacin: las organizaciones no conocen cul es el valor de sus datos. Cunto vale un archivo de inventario en una fbrica? Una buena regla prctica consiste en estimar cuanto podra perder el negocio si tales archivos fueran daados, o cunto costara reconstruirlos. Todos estos condicionantes se encuentran reforzados por ciertos sndromes caractersticos. Uno de ellos es el sndrome del a m no me va a ocurrir, y se encuentra cotidianamente ilustrado en cualquier negocio de cerrajera. Pregunte usted al cerrajero quines, al cabo de una jornada, han comprado cerraduras de seguridad. La respuesta es unnime: aquellos que acaban de sufrir la accin de violadores de domicilios. La gente no protege sus computadoras por la misma razn por la cual no se coloca el cinturn de seguridad: no piensan que les puede pasar a ellos. Otro sndrome generalizado es el de la lnea Maginot. Como es sabido, el ministro francs as llamado fortific toda la extensin de la frontera francoalemana, con lo que evit la invasin por esa lnea; pero los alemanes no tuvieron ningn obstculo para penetrar por otro punto. Una representacin de esta actitud es la de quien instala una puerta blindada... y deja abierta la ventana. Otro sntoma comn es el que se conoce como del blanco mvil, y que alude a la necesidad de ajustar permanentemente la puntera frente a un blanco en movimiento. Si usted, aficionado a la astronoma, empleara un buen rato en enfocar su telescopio sobre la luna y, dispuesto a gozar de la contemplacin, fuera a prepararse un caf, encontrara al regresar que nuestro satlite ha desaparecido. Para mirar la luna durante algunos minutos, la nica solucin es que el telescopio se vaya moviendo con ella. Anlogamente, en materia de seguridad, de nada vale adoptar un completo conjunto de medidas si no se tiene en cuenta que el dinamismo tecnolgico exige la revisin y la actualizacin continuas de los programas de prevencin. Adems, nunca debe olvidarse que, frente a cada recurso de seguridad, los que quieren violarlo imaginan nuevos artificios para hacerlo.

Cmo tendra usted que actuar, entonces, si hoy se incendiara su centro de cmputos? Cules seran las consecuencias en la continuidad de las operaciones de su organizacin? Qu medidas deberan aplicarse? No es aventurado afirmar que la mayora de los lectores no conocen la respuesta a estos interrogantes. Y la solucin de fondo pasa por la implementacin de la herramienta ms idnea para la prevencin del desastre del sistema de computacin: el plan de seguridad.

Tipos de control de Activos:

Controles de acceso fsico El acceso fsico se refiere a las posibles maneras de alcanzar y obtener una cantidad limitada de control fsico directo sobre dispositivos u otros componentes de un sistema de informacin. El control de acceso fsico es necesario, entre otras razones, para prevenir el dao, la destruccin o la sustraccin de recursos directa o indirectamente requeridos para asegurar la integridad de un sistema de computacin y de la informacin que contiene. Sin embargo, dada la naturaleza no fsica de muchos de los activos que requieren proteccin contra dao o intrusin, el control del acceso fsico no es suficiente para resguardar la informacin, aun cuando se lo planifique e implemente con eficiencia. Controles de acceso lgico El acceso lgico implica, generalmente, la lectura, la grabacin, la ejecucin y otros usos u operaciones realizados con datos, programas u otros recursos de un sistema de informacin. Por recursos de un sistema se entiende cualquier elemento que pueda ser controlado por una computadora, tal como una red, un sistema de computacin, una terminal, una aplicacin, un disco, una base de datos, un archivo, un registro, un campo o un bit. A cada usuario se le deben asignar privilegios de acceso especficamente relacionados con los recursos que conciernen a su tarea particular. Una amplia variedad de recursos de los sistemas pueden ser controlados por software. Esto incluye campos de datos, registros, archivos, bases de datos, unidades de discos, volmenes de cintas, computadoras y redes. Los privilegios para acceder y usar estos recursos deben ser otorgados o

denegados a usuarios y/o programas. Pueden otorgarse o denegarse, por ejemplo, privilegios para leer, grabar y/o ejecutar archivos. El software para controlar accesos puede formar parte de un sistema operativo, puede ser un programa especfico o puede estar incorporado en una aplicacin, un procesador frontal, un servidor de red u otros medios. Estos procedimientos de control de privilegios son crticos para la seguridad de los modernos sistemas de computacin. Contrasea Una caracterstica central de la mayora de los mtodos de control de accesos es que distinguen de algn modo entre personas autorizadas y no autorizadas. Hay tres maneras bsicas de realizar esta distincin: por algo que la persona tiene, como una llave o una credencial de identificacin; por algo que la persona es, como la voz, las impresiones digitales o el iris del ojo; por algo que la persona conoce, como una contrasea (password), un cdigo de acceso ms complejo o una simple identificacin. Una contrasea es un grupo de caracteres usado como clave para poder acceder a informacin restringida. La administracin de las contraseas tendr en cuenta los siguientes aspectos: Deben asociarse con una definicin del tipo de autorizacin otorgada. Por ejemplo, se puede autorizar el acceso irrestricto o un acceso limitado, slo a la actualizacin de registros o slo a la lectura. Deben ser de fcil memorizacin. Deben ser cambiadas frecuentemente. Nunca deben aparecer representadas en pantalla. Las tablas de contraseas (archivos en los que se mantiene la informacin de las personas autorizadas, sus respectivas contraseas y el tipo de autorizacin otorgada) deben estar protegidas mediante encriptacin. Debe existir un sistema de control automtico de repeticin de contraseas que aborte el intento de repeticin de una contrasea que fue suprimida o que fue utilizada y cambiada.

Desafortunadamente, las contraseas tienen varias debilidades importantes, incluyendo la propensin del usuario a elegir contraseas fciles de descubrir, olvidarlas, escribirlas donde pueden ser vistas y compartirlas con otros. Recientes desarrollos tecnolgicos permiten el uso de medios de autenticacin ms seguros, como las impresiones digitales, el reconocimiento de patrones de voz, medidas de la geometra de las manos y exploracin del iris del ojo. Pista de auditora Una pista de auditora es una huella o registro generado automticamente por un sistema de computacin para permitir la reconstruccin, a posteriori, de la secuencia de operaciones, el origen de las transacciones, la fuente de cifras o registraciones especficas y, en general, el modo, el momento y el operador involucrados en los accesos a los archivos. Una pista de auditora tpica es la que permite reconstituir un procesamiento, siguiendo el camino hacia atrs, hasta llegar al documento fuente. Backup y recuperacin Backup es el proceso por el que se obtiene una copia de archivos cuyos datos se desea salvaguardar. La copia de seguridad se realiza sobre volmenes de almacenamiento distintos de los que contienen los datos copiados. El trmino backup tambin se aplica a los propios archivos de respaldo. Asimismo, se aplica a equipos de computacin sustitutos que, ante fallas de los principales, pueden utilizarse en reemplazo de stos. La recuperacin es el proceso inverso al del backup, es decir, el proceso que, a partir de una copia de seguridad, permite recuperar o restaurar un archivo original perdido, alterado o daado. Las medidas y procedimientos para backup y recuperacin dependen de las necesidades de cada negocio especfico, as como del valor, la sensitividad y la criticidad de los datos involucrados. A veces, pueden requerirse equipos tolerantes a fallas, duplicacin remota de instalaciones, almacenamiento de copias de seguridad de archivos en un edificio separado y medidas similares. El mantenimiento regular del backup de los archivos de produccin es imprescindible y, a menudo, se encuentra descuidado. Los procedimientos para evaluar las prioridades de las distintas actividades de sistemas, en orden a mantener operativas las funciones esenciales del negocio, son fundamentales para el planeamiento de medidas de backup y recuperacin que representen costos razonables. Un plan sobre estos

aspectos puede considerarse adecuado cuando queda asegurada la capacidad de la organizacin para continuar desarrollando su negocio. Criptografa La criptografa es la proteccin de la informacin y, a la vez, la hace ininteligible para usuarios no autorizados. Emplea diversas tcnicas, algunas de las cuales, por ejemplo, transforman la informacin en secuencias de bits seudo aleatorias, utilizando un algoritmo matemtico que emplea una clave secreta, tpicamente un nmero grande. Este mecanismo se denomina encriptado. La encriptacin de datos se ha convertido en un procedimiento valioso para la proteccin de los datos y otros recursos de red, especialmente en Internet, Intranets y Extranets. El encriptado permite acceder a los datos, mensajes, archivos, etc., slo a usuarios autorizados. Sistemas criptogrficos con claves pblicas y privadas En un sistema criptogrfico de claves pblicas (PKI: Public Key Infrastructure) es aquel en el cual los mensajes encriptados a travs de una clave, slo pueden desencriptarse a travs de una segunda clave. En este tipo de sistemas, el hecho de conocer el algoritmo de encriptacin y una de las claves, no permite conocer la otra clave ni da algn indicio sobre la forma de desencriptar el mensaje. La idea principal es que el usuario publica una clave, pero la otra la mantiene en secreto. Una persona puede utilizar la clave pblica para enviar mensajes que slo pueden leer los que poseen la clave privada y la clave privada puede ser usada slo por el dueo de la misma. A travs de la criptografa con claves pblicas, es posible establecer una lnea segura de comunicaciones. Las personas que envan o reciben un mensaje, no necesitan ponerse de acuerdo con respecto a una clave compartida. Si A desea comunicarse con B, y B es una persona que A no conoce, A y B pueden intercambiar sus claves pblicas. A y B pueden encriptar sus mensajes con la clave pblica del otro y desencriptar los mensajes recibidos, con sus propias claves privadas que son secretas. La seguridad del sistema desaparece si la clave privada es compartida o transmitida a alguna otra persona.

CONTROL INTERNO
http://www.centroafin.org/files/recursos/Lectura_Complementaria_1_Auditora_Interna_Un_Enfoque_ Sistmico_y_de_Mejora_Continua_3.pdf

El control interno es una funcin que tiene por objeto salvaguardar y preservar los bienes de la empresa, evitar desembolsos indebidos de fondos y ofrecer la seguridad de que no se contraern obligaciones sin autorizacin. Una segunda definicin definira al control interno como el sistema conformado por un conjunto de procedimientos (reglamentaciones y actividades) que interrelacionadas entre s, tienen por objetivo proteger los activos de la organizacin. Entre los objetivos del control interno tenemos a) Proteger los activos de la organizacin evitando prdidas por fraudes o negligencias. b) Asegurar la exactitud y veracidad de los datos contables y extracontables, los cuales son utilizados por la direccin para la toma de decisiones. c) Promover la eficiencia de la explotacin. d) Estimular el seguimiento de las prcticas ordenadas por la gerencia. e) Promover y evaluar la seguridad, la calidad y la mejora continua. Entre los elementos de un buen sistema de control interno se tiene: a) Un plan de organizacin que proporcione una apropiada distribucin funcional de la autoridad y la responsabilidad.

b) Un plan de autorizaciones, registros contables y procedimientos adecuados para proporcionar un buen control contables sobre el activo y el pasivo, los ingresos y los gastos. c) Unos procedimientos eficaces con los que llevar a cabo el plan proyectado. d) Un personal debidamente instruido sobre sus derechos y obligaciones, que han de estar en proporcin con sus responsabilidades. La Auditora Interna forma parte del Control Interno, y tiene como uno de sus objetivos fundamentales el perfeccionamiento y proteccin de dicho control interno. Tcnicas de evaluacin del control interno Las principales tcnicas y ms comnmente utilizadas para la evaluacin del control interno son las de: a) Memorndums de procedimientos b) Fluxogramas c) Cuestionarios de Control Interno d) Tcnicas estadsticas A stas deben agregarse las herramientas de gestin, entre las principales tenemos: diagrama de Ishikawa (denominada tambin Espina de Pescado), diagrama de Pareto, diagrama de dispersin, histograma y fluxogramas ( ests ltimas tres contenidas ya en las antes mencionadas), estratificacin, y la Matriz de Control Interno entre otras. Ventajas de la auditora interna a) Facilita una ayuda primordial a la direccin al evaluar de forma relativamente independiente los sistemas de organizacin y de administracin. b) Facilita una evaluacin global y objetiva de los problemas de la empresa, que generalmente suelen ser interpretados de una manera parcial por los departamentos afectados. c) Pone a disposicin de la direccin un profundo conocimiento de las operaciones de la empresa, proporcionado por el trabajo de verificacin de los datos contables y financieros.

d) Contribuye eficazmente a evitar las actividades rutinarias y la inercia burocrtica que generalmente se desarrollan en las grandes empresas. e) Favorece la proteccin de los intereses y bienes de la empresa frente a terceros. Requisitos del trabajo de auditora interna a) Las revisiones han de ser efectuadas por personas que posean conocimientos tcnicos adecuados y capacitacin como auditores. b) El auditor debe mantener una actitud mental independiente. c) Tanto en la realizacin del examen como en la preparacin del informe debe mantenerse el debido rigor profesional. d) El trabajo debe planificarse adecuadamente ejercindose la debida supervisin por parte del auditor de mayor experiencia. e) Debe obtenerse suficiente informacin (mediante inspeccin observacin, investigacin y confirmaciones) como fundamento del trabajo.

CONTROL DE ACTIVOS DE SOFTWARE http://www.isacamty.org.mx/archivo/CAS2008_09_30.pdf

No tiene nada porque no se puede copiar pegar :D

CONTROL INTERNO DE LOS ACTIVOS INFORMATICOS:

http://prezi.com/m8saykr4notj/control-interno-de-los-activos-informaticos/

No tiene nada porque no se puede copiar pegar :D