Professional Documents
Culture Documents
SECCIN: 21:01
OBJETIVOS
El objetivo del presente trabajo es presentar de forma sinttica los principales
puntos de la planificacin y revisin de la seguridad informtica, as como los
objetivos de control y las directivas de auditoria relativas a la seguridad en
sistemas informticos. Tambin mencionar algunos instrumentos utilizados por
los administradores de la seguridad para obtener la tan til y ansiada seguridad
lgica y fsica.
SEGURIDAD INFORMATICA
La existencia de amenazas que afectan la disponibilidad, integridad y
confidencialidad de los datos es real. Es crtico para las organizaciones poder
identificar esas amenazas y adoptar recomendaciones que permitan prevenir,
detectar y protegerse de ellas. La diversidad y la heterogeneidad de los
sistemas de informacin que requieren las organizaciones actuales, sumado a
la globalizacin a la que se enfrentan al conectar esos sistemas al mundo de
internet, genera un sinfn de incertidumbres en lo referente a la seguridad de la
informacin.
CONCEPTO DE HACKER
Un Hacker es una persona que est siempre en una continua bsqueda de
informacin, vive para aprender y todo para l es un reto; no existen barreras, y
lucha por la difusin libre de informacin, distribucin de software sin costo y la
globalizacin de la comunicacin.
QU ES UN VIRUS?
Es un pequeo programa escrito intencionalmente para instalarse en la
computadora de un usuario sin el consentimiento o el permiso de este.
Decimos que es un programa parsito porque el programa ataca a los archivos
o sectores y se replica a s mismo para continuar su esparcimiento.
QU ES UN ANTIVIRUS?
No para toda enfermedad existe cura, como tampoco existe una forma de
erradicar todos y cada uno de los virus existentes.
POLTICAS DE SEGURIDAD
El software, el hardware y las conexiones entre redes de computadores nunca
sern 100% seguras. Apuntando a la proporcin para la seguridad total, una
organizacin debe asignar un valor a la informacin que est intentando
proteger y balancearla contra el ocultamiento de una violacin de seguridad y el
costo de implementar varias medidas de seguridad.
Una poltica de seguridad en redes efectiva es algo que todos los usuarios y
administradores de redes pueden aceptar y estn dispuestos a aplicar.
Podemos definir POLTICA DE SEGURIDAD DE LA INFORMACIN como el
conjunto de normas, reglas, procedimientos y prcticas que regulan la
proteccin de la informacin contra la prdida de confidencialidad, integridad o
disponibilidad, tanto de forma accidental como intencionada.
Es muy importante ser conciente que por ms que nuestra empresa sea la ms
segura desde el punto de vista de ataques externos (hackers, virus, ataques de
sistemas remotos, etc.); la seguridad de la misma ser nula si no se ha previsto
como combatir un incendio o cualquier otro tipo de desastre natural y no tener
presente polticas claras de recuperacin de desastres, las cuales nos ayudan
a seguir una gua para restaurar el servicio de cmputo en forma rpida,
eficiente y con el menor costo y prdidas posibles.
Luego de ver como nuestro sistema puede verse afectado por la falta de
seguridad fsica, es importante recalcar que la mayora de los daos que puede
sufrir un centro de cmputo no ser sobre los medios fsicos sino contra
informacin por l almacenada y procesada.
Como ya se ha mencionado, el activo ms importante que se posee es la
informacin, y por lo tanto deben existir tcnicas, ms all de la seguridad fsica
que la asegure.
2. INSTALACIONES:
Revisar la ubicacin de los ordenadores: estos deben de estar
protegidos de inundaciones u otras catstrofes y de la manipulacin de
empleados no autorizados.
Sala de ordenadores y sus instalaciones auxiliares: estas deben de ser
construidas con materiales adecuados y resistentes, el falso suelo y
falso techo han de ser incombustibles y tambin deberan serlo las
puertas y las paredes.
Fuego: debe de haber detectores de humo, detectores de calor y
extintores.
Existencia de alarmas y sistemas de extincin: los extintores no deben
ser nocivos, ni daar los ordenadores y no deberan de ser
ecolgicamente dainos.
Las cajas de impresos: deben de estar en reas distintas, no solo por el
fuego sino porque su manipulacin genera polvo y particulas
perjudiciales para el procesador y disco.
El tabaco: debe estar prohibido fumar y se debe recordar con carteles.
Planes de adecuacin: para facilitar la labor de los bomberos y equipos
de extincin es necesario contar con planos, sealizacin adecuada e
instrucciones.
Personal: en cuanto a las personas, es necesario tener un botiqun de
primeros auxilios, para quemaduras y cualquier emergencia.
Pruebas: deben hacerse pruebas peridicas de detectores y extintores
automticos y revisar la carga.
Aire acondicionado: necesario no solo por la temperatura y por la
humedad sino por la pureza del aire; las particulas daan dispositivos y
soportes magnticos.
Medidores de corriente
Falso suelo
DIRECTIVA DE AUDITORIA
Deben revisarse los procedimientos de la organizacin para asegurar la
seguridad, tanto lgica como fsica, de sus activos de informacin.
DIRECTIVA DE AUDITORIA
Deben revisarse los procedimientos establecidos por el Departamento de
Informtica para restringir el acceso a sus instalaciones de ordenadores.
Asegurar que se ha publicado una declaracin escrita que define las
restricciones de acceso a las instalaciones.
Determinar si hay procedimientos adecuados para evitar que personas no
autorizadas logren acceder a las instalaciones.
Obtener un plano de la distribucin fsica de las instalaciones de
ordenadores del departamento de informtica.
Obtener una lista de todos los individuos autorizados atener acceso al
departamento de informtica y que dicho permiso sea necesario.
Observar las actividades en el departamento de informtica para
asegurarse de que solamente entre personal autorizado.
Asegurar que, cuando las instalaciones de ordenadores del Departamento
de Informtica estn desocupadas, hay vigilancia peridica.
ACOMPAAMIENTO DE VISITAS
OBJETIVO DE CONTROL
Las personas que no son miembros de la plantilla de explotacin del
departamento de Informtica, debern ser acompaadas por un miembro de
dicha plantilla.
DIRECTIVA DE AUDITORIA
Deben revisarse los procedimientos de Departamento de Informtica para
asegurar que cualquier persona que no sea de la plantilla de explotacin es
acompaada por un miembro de la misma.
El auditor debe revisar los procedimientos establecidos por el departamento
de informtica para identificar a las visitas a las instalaciones de
ordenadores y para acompaarles mientras estn presentes en esas reas.
DIRECTIVA DE AUDITORIA
Debe revisarse el procedimiento del departamento de informtica para el
empleo de palabras de paso y otras restricciones lgicas de acceso a los
recursos de ordenador.
Revisar el procedimiento del departamento de informtica para aadir,
cambiar o borrar personas a la lista de las autorizadas a tener acceso a los
recursos del ordenador.
DIRECTIVA DE AUDITORIA
Determinar si se vienen registrando cambios en los registros de violaciones
de seguridad del departamento de informtica, y verificar que existan los
documentos autorizando los cambios.
Revisar los procedimientos del departamento para revisar y resolver los
informas sobre violaciones de seguridad y que se cumplan.
Determinar si los registros de violaciones de seguridad del departamento de
informtica estn protegidos contra destruccin accidental o intencional.
DIRECTIVA DE AUDITORIA
Determinar si existe documentacin que justifique la necesidad de la
autorizacin para que el usuario acceda a recursos del sistema de
informacin.
Revisar los procedimientos para el acceso de emergencia o temporal a los
recursos del sistema de informacin. Verificar que el acceso temporal solo
se concede con la frecuencia estrictamente necesaria.
DIRECTIVA DE AUDITORIA
Debe revisarse los procedimientos del departamento de informtica para
autorizar el acceso a un entorno de tratamiento en lnea de aplicaciones y
datos.
Determinar si los procedimientos del departamento de informtica para
autorizar el acceso permiten limitar las funciones de consultar, aadir,
cambiar o borrar datos, y restringir el acceso individual.
Determinar si la direccin de los departamentos usuarios valida
peridicamente las libertades de acceso al entorno de tratamiento en lnea
actualmente concedidas a individuos de su departamento.
DIRECTIVA DE AUDITORIA
Revisar los estndares generalmente aceptados, publicados por
organizaciones nacionales de proteccin contra el fuego.
Determinar mediante entrevistas con la alta direccin de la organizacin y
con la direccin del departamento de informtica, su comprensin de la
adecuacin del cumplimiento del departamento con estndares de
proteccin contra el fuego generalmente aceptados.
Revisar las evaluaciones de la adecuacin de las medidas de proteccin
contra el fuego realizadas por la agencia de seguros o por el jefe de
bomberos.
OBJETIVO DE CONTROL
DIRECTIVA DE CONTROL
Determinar que los miembros de la plantilla del departamento de
informtica, han recibido peridicamente informacin adecuada sobre los
procedimientos a seguir en caso de emergencias de fuego, agua o alarmas.
Verificar que estos miembros conozcan los sitios en los que se encuentran
las alarmas de fuego, los extintores, de los interruptores de energa elctrica
normales y de emergencia, etc.; adems de saber si los miembros del
departamento efectan simulacros de incendio.
DIRECTIVA DE AUDITORIA
Determinar si el departamento de informtica ha establecido un plan escrito
para la prueba de cambios en el software de sistemas.
Determinar si los problemas puestos de manifiesto durante las pruebas
fueron identificados y resueltos adecuadamente.
Determinar si en el departamento de informtica existen instalaciones e
pruebas adecuadas para brindar una seguridad razonable.
Determinar si a los programadores del departamento y a los usuarios del
software de sistemas se les notifica adecuadamente del cambio en el
producto.
DIRECTIVA DE AUDITORIA
Revisar los procedimientos del departamento de informtica para el
mantenimiento del software de sistemas y determinar si todos los cambios
obtenidos en estos productos estn documentados.
Verificar que la documentacin contiene una historia de quien hizo el
cambio, cuando se hizo el cambio y una descripcin del mismo.
DIRECTIVA DE AUDITORIA
Obtener una lista de las bibliotecas de pruebas y explotacin utilizadas para
almacenar el software de sistemas.
Determinar si el acceso a las bibliotecas que almacenan el software esta
limitado por la necesidad de cada individuo.
Revisar los controles establecidos para asegurar que los programadores de
sistemas no introducen cambios en dichos productos sin probarlos ni
documentarlos adecuadamente.
DIRECTIVA DE AUDITORIA
Revisar los procedimientos del departamento de informtica para identificar
y documentar problemas con el software de sistemas.
Determinar si los registros de problemas con el software de sistemas del
departamento identifican la gravedad del problema, registran la asignacin
de su anlisis y solucin a individuos concretos y especifican la forma de
resolucin del problema.
Revisar las causas y frecuencias de los problemas recurrentes con el
software de sistemas y cerciorarse si el proceso de control de cambios
debera haber prevenido tales problemas.
DIRECTIVA DE AUDITORIA
Revisar las posibilidades de soslayar las restricciones de acceso de
seguridad lgica ya existentes, de las brindadas por el software de sistemas
utilizadas por el departamento de informtica y determinar si el
departamento ha establecido procedimientos para restringir tales
posibilidades.
Revisar las capacidades que el software de sistemas utilizado por el
departamento tiene para interrumpir el entorno de explotacin y determinar
SOPORTES MAGNETICOS
OBJETIVO DE CONTROL
Las responsabilidades de gestin de la biblioteca de soportes magnticos
deberan ser asignadas a miembros especficos del departamento de
informtica, y el departamento debera establecer procedimientos de gestin
interna para proteger los contenidos de al biblioteca.
DIRECTIVA DE AUDITORIA
Asegurar que las responsabilidades de la biblioteca esta a cargo de
empleados especficos de explotacin del departamento de informtica.
Asegurar que la biblioteca de soportes esta situada en un rea dentro
del departamento de informtica, que esta seguro de daos de fuego,
agua y sabotaje.
Determinar si hay procedimientos para controlar el acceso y el uso de
todos los ficheros de programas de aplicacin al departamento.
Verificar la existencia de cualquier instalacin remota que pueda ser
utilizada para almacenar copias de ficheros de datos crticos que se
encuentran en la biblioteca de soportes y que estos datos se encuentren
realmente copias de ficheros seleccionados.
Examinar los procedimientos del departamento para la creacin de
copias de ficheros a ser almacenados en instalaciones remotas.
OBJETIVO DE CONTROL
DIRECTIVA DE AUDITORIA
Determinar si los bibliotecarios de soportes verifican peridicamente la
exactitud de la informacin creada y mantenida por un sistema de
gestin de bibliotecas de soportes, y realizar muestreos selectivos de
registros de este sistema para cerciorarse que son exactos y completos.
Verificar que los registros de los inventarios de contenido de la biblioteca
de soportes, especifican el numero de soporte, el periodo de retencin,
quien lo custodia actualmente y que las etiquetas internas empleadas,
contienen los siguientes tems:
Nombre del fichero
Fecha de creacin
Programa que lo creo
Periodo de retencin del soporte
Numero de registros o bloques contenidos en el soporte
Determinar si los procedimientos de conservacin de los soportes
magnticos especifica un ciclo peridico de limpieza de los soportes de
la biblioteca y revisar los registros pertinentes para asegurar que eso se
esta haciendo.
OBJETIVO DE CONTROL
El departamento de informtica debera establecer estndares para la
identificacin externa de los soportes magnticos y para el control de su
movimiento fsico.
DIRECTIVA DE AUDITORIA
Asegurar que el departamento tiene procedimientos y estndares
adecuados para identificar externamente, conservar, controlar el
movimiento y proteger sus soportes magnticos.
Observar los procedimientos del departamento para trasladar soportes
magnticos para ser procesados y devueltos a la biblioteca y verificar
que los estndares y los procedimientos del departamento se estn
cumpliendo.
Asegurar q e se llevan a cabo revisiones peridicas de las etiquetas
externas de los soportes magnticos.
Determinar que el departamento conserva registros adecuados de todos
los soportes magnticos recibidos de o enviados a terceros.
7. Como regla general, prohben ustedes que alguien trabaje solo en la sala
del ordenador?
RESUMEN
La informacin constituye un activo ms de las organizaciones y, en
muchos casos, un elemento ms de ventajas competitivas.