INTRODUCCIN A LA SEGURIDAD OPERACIONAL

La seguridad a nivel general, se toma como la confianza y seguridad que pueda

otorgar algo o alguien, ahora bien si aplicamos la seguridad en el rea de

informtica directamente en la parte operacional, la misma consiste en una serie de mtodos y procedimientos creados por el administrador y que deben ser conocidos por los dems usuarios del sistema ms no de manera detallada , todo esto con la finalidad de resguardar toda la informacin almacenada en el sistema, de modo que el programa este totalmente seguro de personas ajenas a esta informacin. Para lograr un sistema de seguridad operacional optimo , se deben llevar a cabo una serie se seguimientos establecidos debidamente por el administrador, vigilancia, monitoreo, verificacin de amenazas en otros, de manera que se logre el nivel de seguridad deseado.

SEGURIDAD

El trmino seguridad proviene de la palabra securitas del latn. Cotidianamente se puede referir a la seguridad como la ausencia de riesgo o tambin a la confianza en algo o alguien. Sin embargo, el trmino puede tomar diversos sentidos segn el rea o campo a la que haga referencia. La seguridad es un estado de nimo, una sensacin, una cualidad intangible. Se puede entender como un objetivo y un fin que el hombre anhela constantemente como una necesidad primaria.

POR QU EST IMPORTANTE LA SEGURIDAD?

Por la existencia de personas ajenas a la informacin,, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos. Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de cualquier compaa; de acuerdo con expertos en el rea, ms de 70 por ciento de las Violaciones e intrusiones a los recursos informticos se realiza por el personal interno, debido a que ste conoce los procesos, metodologas y tiene acceso a la informacin sensible de su empresa, es decir, a todos aquellos datos cuya prdida puede afectar el buen funcionamiento de la organizacin. Esta situacin se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayora de las compaas a nivel mundial, y porque no existe conocimiento relacionado con la planeacin de un esquema de seguridad eficiente que proteja los recursos informticos de las actuales amenazas combinadas. El resultado es la violacin de los sistemas, provocando la prdida o modificacin

de los datos sensibles de la organizacin, lo que puede representar un dao con

valor de miles o millones de dlares.

SEGURIDAD OPERACIONAL

La

seguridad

operacional

consiste

en

varias

polticas

procedimientos

implementados por el administrador del sistema de computacin. Mediante la autorizacin se determina qu acceso se permite y a qu entidad. Como punto crtico se destaca la seleccin del personal y la asignacin del mismo. Generalmente se dividen responsabilidades, de esta manera un operario

no debe conocer la totalidad del sistema para cumplir con esas responsabilidades.
Se deben instrumentar diversos controles, y el personal debe saber de la existencia de dichos controles, pero desconocer cules son, para reducir la probabilidad de que intrusos puedan evadirlos.

MECANISMOS Y POLTICAS
El rol de la proteccin es proveer un mecanismo para el fortalecimiento de las polticas que gobiernan el uso de recursos. Tales polticas se pueden establecer de varias maneras, algunas en el diseo del sistema y otras son formuladas por el administrador del sistema. Un principio importante es la separacin de polticas de los mecanismos. Los mecanismos determinan cmo algo se har. Las polticas deciden que se har.

Resulta importante establecer polticas de seguridad, las cuales van desde el

monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realizacin del respaldo de datos y hasta el reconocimiento de las propias necesidades de seguridad, para establecer los niveles de proteccin de los recursos.

Las polticas debern basarse en los siguientes pasos:

Identificar y seleccionar lo que se debe proteger (informacin sensible) Establecer niveles de prioridad e importancia sobre esta informacin Conocer las consecuencias que traera a la compaa, en lo que se refiere a costos y productividad, la prdida de datos sensibles Identificar las amenazas, as como los niveles de vulnerabilidad de la red

Realizar un anlisis de costos en la prevencin y recuperacin de la informacin,

en caso de sufrir un ataque y perderla Implementar respuesta a incidentes y recuperacin para disminuir el impacto Este tipo de polticas permitir desplegar una arquitectura de seguridad basada en soluciones tecnolgicas, as como el desarrollo de un plan de accin para el manejo de incidentes y recuperacin para disminuir el impacto, ya que previamente habremos identificado y definido los sistemas y datos a proteger.

MONITOREO DE AMENAZAS
Una manera de reducir los riesgos de seguridad es tener rutinas de control en el sistema operativo para permitir o no el acceso a un usuario. Estas rutinas interactan con los programas de usuario y con los archivos del sistema. De esta manera, cuando un usuario desea realizar una operacin con un archivo, las

rutinas determinan si se niega o no el acceso y en caso de que el mismo fuera

permitido devuelven los resultados del proceso. Adems las rutinas de control permiten detectar los intentos de penetracin al sistema y advertir en consecuencia.

VERIFICACIN DE AMENAZAS
Es una tcnica segn la cual los usuarios no pueden tener acceso directo a un recurso: Solo lo tienen las rutinas del S. O. llamadas programas de vigilancia. El usuario solicita el acceso al S. O. El S. O. niega o permite el acceso. El acceso lo hace un programa de vigilancia que luego pasa los resultados al programa del usuario. Permite: o Detectar los intentos de penetracin en el momento en que se producen. o Advertir en consecuencia.

AMPLIFICACIN
Como ya dijimos, los programas de vigilancia interactan con los programas de usuario y los archivos del sistema. A veces estos programas requieren de ms derechos de acceso de los que posee el usuario para realizar una operacin determinada. Esto se conoce como amplificacin.

SEGURIDAD OPERACIONAL EN EL REA INFORMTICA

La seguridad operacional en el rea informtica abarca los seguridad fsica y seguridad lgica. La seguridad fsica se refiere del Hardware y de los soportes de datos, as como a la de instalaciones que los albergan. Contempla las situaciones sabotajes, robos, catstrofes naturales, etc.

conceptos de a la proteccin los edificios e de incendios,

La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin.
La seguridad operacional en el rea informtica se puede dividir como: rea General y como rea Especfica (seguridad de Produccin, seguridad de las Aplicaciones, etc.). As, se podrn efectuar auditoras de la Seguridad Global de una Instalacin Informtica Seguridad General- y auditoras de la Seguridad de un rea informtica determinada Seguridad Especifica -. Seguridad de Produccin: Debe revisarse la proteccin de utilidades o de programas especialmente peligrosos, as como el control en generacin y cambios posteriores de todo el software de sistemas y de forma especial el de control de accesos.

Otros aspectos a revisar es el control de formularios crticos.

Es necesario que queden registrados los accesos a redes exteriores y protegidos esos riesgos, as como la fecha, hora y usuario o sistema, y el tipo de informacin transferida y en que sentido. Seguridad de Aplicaciones: La proteccin de los programas al menos desde dos perspectivas: de los programas, que sean propiedad de la entidad, que sean realizados por el personal propio o contratado su desarrollo a terceros, como el uso adecuado de aquellos programas de los que se tengan licencia de uso. Con el incremento de agresiones a instalaciones informticas en los ltimos aos, se han ido originando acciones para mejorar la Seguridad Informtica a nivel fsico. Los accesos y conexiones indebidos a travs de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lgica y la utilizacin de sofisticados medios criptogrficos.

El sistema integral de seguridad debe comprender:

Elementos administrativos
Definicin de una poltica de seguridad Organizacin y divisin de responsabilidades Seguridad fsica y contra catstrofes (incendio, terremotos, etc.) Prcticas de seguridad del personal Elementos tcnicos y procedimientos Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales. Aplicacin de los sistemas de seguridad, incluyendo datos y archivos

El papel de los auditores, tanto internos como externos

Planeacin de programas de desastre y su prueba. La decisin de abordar una Auditora Informtica de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est sometida. Se elaboran "matrices de riesgo", en donde se consideran los factores de las "Amenazas" a las que est sometida una instalacin y los "Impactos" que aquellas puedan causar cuando se presentan.

ALCANCE DE LAS ACTIVIDADES DESARROLLADAS EN EL DEPARTAMENTO INFORMTICO

El Departamento Informtico es la unidad organizacional dentro de la empresa

donde:
a) Se realizan actividades de proceso de datos, mediante la utilizacin de uno o ms computadoras y otros equipos auxiliares relacionados, para producir informacin para la toma de decisiones y ejercer control de las operaciones del Banco. b) Se desarrollan los sistemas o parte de los sistemas en que se desea utilizar el equipo como una herramienta de proceso.

El departamento Informtico abarca, las siguientes actividades:

1- La recepcin y control de los documentos fuente; la verificacin de que cumplan
con requisitos establecidos en cuanto a su integridad, legibilidad y autorizaciones; la conversin de los datos fuente a un medio legible por el equipo de PED, y verificacin de dicha conversin. 2- El proceso de los datos mediante la operacin, programacin y control de las diferentes unidades que constituyen el equipo de PED. 3- El manejo de archivos de datos gravados en un medio legible por el equipo de PED y la actualizacin de los mismos, en los sistemas que as lo requieran. 4- La custodia y control de los archivos y programas grabados en un medio legible

por el equipo de PED, as como la documentacin que los ampara.

5- La conciliacin de los datos incluidos en los reportes con la formacin de los documentos fuente, cuando sea aplicable y la distribucin de los reportes. 6- La identificacin y control de las transacciones errneas detectadas durante el proceso y el seguimiento de su correccin y reincorporacin al proceso.

7- El establecimiento y prueba de procedimientos de respaldo y recuperacin del equipo de PED, los archivos de datos, los programas y la documentacin. 8- El establecimiento y prueba de procedimientos de respaldo y recuperacin del equipo de PED, los archivos de datos, los programas y la documentacin. 9- El desarrollo de nuevos sistemas susceptibles de automatizarse (o la conversin de sistemas manuales o mecnicos), incluyendo el estudio preliminar, la definicin de requerimientos y especificaciones tcnicas, el diseo, la preparacin y prueba de programas, el establecimiento de procedimientos, la prueba, conversin e implementacin del sistema y el desarrollo de la documentacin soporte, relacionada con cada uno de los puntos anteriores. 10- El mantenimiento (modificaciones) a los sistemas y programas existentes y el desarrollo de la documentacin respectiva. 11- El desarrollo, establecimiento y documentacin de polticas, procedimientos y estndares relacionados con las actividades del centro.

OBJETIVOS DEL CONTROL INTERNO OPERACIONAL DEL DEPARTAMENTO INFORMTICO

El objetivo del Control Interno Operacional del departamento informtico, es examinar crticamente las actividades indicadas en el apartado anterior, con la finalidad de detectar problemas que estuviesen obstaculizando la eficiencia en su manejo o pudiera poner en riesgo su operacin. Si bien la eliminacin de accidentes (y de incidentes graves) sera deseable, una seguridad operacional del cien por cien es un objetivo inalcanzable. Ocurrirn fallas y errores a pesar de los mejores esfuerzos para evitarlos. Ninguna actividad humana ni ningn sistema hecho por el hombre se pueden garantizar como que es absolutamente seguro, es decir, libre de riesgos. La seguridad operacional es una nocin relativa, por lo que en un sistema "seguro" los riesgos inherentes son aceptables. Cada vez ms, la seguridad operacional se percibe como una gestin de riesgos. Por lo tanto el objetivo de la seguridad operacional es el : Estado en que el riesgo de lesiones a personas o daos a los bienes se reduce y se mantiene a un nivel aceptable, o por debajo del mismo, por medio de un proceso continuo de identificacin de peligros y gestin de riesgos".

FAMILIARIZACIN
El funcionario del Control Interno debe familiarizarse con el departamento informtico mediante el estudio de: a) La estructura de organizacin del departamento informtico y su ubicacin

dentro de la organizacin general de la Empresa.

b) Los planes a corto y largo plazo relacionados con el PED y su coordinacin con los planes y objetivos generales de la Gerencia. c) Los manuales de polticas y procedimientos de las diferentes actividades desarrolladas en el departamento informtico, incluyendo su administracin. d) Los informes resultantes de revisiones efectuadas. e) Los antecedentes del departamento informtico en relacin a su origen, desarrollo, equipo de proceso de datos original y sus modificaciones, relaciones, con usuarios, prioridades en el desarrollo de sistemas, etc., y

f) Los estados financieros de la Entidad y el impacto que tienen los costos y

gastos del departamento informtico en los resultados de operacin.

Asimismo deber conocer:

a) Cules son las principales reas de la Empresa que reciben servicios del departamento informtico y que importancia financiera y operativa tiene para la Entidad. b) Cules sistemas estn automatizados y en qu grado y cules sistemas importantes, susceptibles de automatizarse, no lo estn. c) Una descripcin detallada de la configuracin del equipo de PED y del sistema

operativo, la cual deber incluir: marca, modelo, cantidad, capacidad y velocidad

de la unidad central de proceso, de las unidades perifricas y otro equipo auxiliar, tipo, versin, y proveedor del sistema operativo y otros programas de operacin, as como una descripcin de las modificaciones que se le hayan hecho, en su caso.

ANLISIS DE LA INFORMACIN FINANCIERA Y OPERATIVA

La

unidad

de

Control

Interno

Operacional

deber

obtener

analizar

objetivamente la informacin que se menciona a continuacin, la cual por la naturaleza de las actividades del Departamento Informtico, es principalmente operativa. En caso que la informacin solicitada no se prepare como parte de las actividades normales del departamento Informtico, el control interno debe evaluar el esfuerzo requerido y la disponibilidad de datos para que sea justificable, independientemente, en la mayora de los casos, la falta de este tipo de informacin normalmente representa ausencia de elementos de evaluacin y control de las actividades del Departamento Informtico.

a) Presupuestos de gastos del Departamento Informtico comparado contra los gastos reales. b) Estadsticas de tiempo extra trabajado y las razones que lo motivaron.

c) Reportes de recepcin de documentos fuente que incluyan informacin sobre la

documentacin recibida despus de las fechas y horas programadas. d) Estadsticas sobre captura de datos fuente (nmero de golpes por hora y errores por operador). e) Estadsticas de uso de la unidad central de proceso y del equipo perifrico (incluyendo terminales remotas) que muestren. - Produccin normal - Reprocesos - Corridas especiales

- Pruebas y compilaciones de nuevos programas

- Mantenimiento de equipo y sistema operativo - Fallas del equipo - Tiempo ocioso Cuando sea aplicable deber obtenerse el detalle a nivel de participacin.

f) Reportes de actividad por terminal (frecuencia de uso, duracin, errores de operacin, etc.) g) Estadsticas de mantenimiento por cada unidad de equipo (preventivo y por fallas) h) Estadsticas de entregas de reportes a usuarios con datos sobre calidad, oportunidad y necesidades de reproceso por errores. i) Reportes de tiempo incurrido y grado de avance, comparados contra presupuestos, por los diferentes proyectos de desarrollo de nuevas aplicaciones y mantenimiento de las existentes. j) Estadsticas de ocupacin de personal, mostrando tiempo productivo, de entrenamiento, vacaciones, rotacin, etc.

Revisin y control a las instalaciones operacionales.

Debern visitarse las instalaciones correspondientes al departamento informtico, incluyendo los lugares en donde se guardan los archivos de respaldo y hacer observaciones sobre: a) Lo adecuado de su ubicacin y de la distribucin de las reas de trabajo y las medidas para restringir el acceso a personal no autorizado. b) Los controles y aparatos para conservar la temperatura y el grado de humedad dentro de los lmites especificados por el proveedor del equipo de cmputo, dentro del rea en que se encuentra ste instalado. c) Las medidas establecidas para la deteccin y contencin de incendios (detectores de humo, prohibicin de fumar, sistemas de extincin de fuego, etc.) d) El orden y limpieza del equipo y accesorios (discos, cintas, tarjetas disketes, etc.) y de la documentacin. e) Las condiciones ambientales (luz, ventilacin, etc. ) f) Las relaciones de trabajo entre jefes y subordinados y de estos entre s.

CONCLUSIN
En la actualidad existe una gran abundancia de piratas informticos, mejor conocidos como hackers personas que buscan ingresar a diferentes sistemas para obtener cualquier tipo de informacin ajena a ellos, a nivel empresarial buscan obtener informacin totalmente confidencial ya sea para borrar o modificar dicha informacin. Es all donde es aplicable la seguridad informtica en el rea operacional, esta seguridad es implementada y creada por el administrador del sistema, la cul crea una seria de polticas que permitirn el resguardo de esta informacin. Los dems usuarios o en este caso empleados debern estar debidamente

informados de estas polticas ms no manejar toda la informacin confidencial.

Este sistema de seguridad se apoya en una seria de seguimientos ya establecidos por el administrador de manera que se logre un sistema de seguridad operacional confiable.