6.

5 EVALUACION DE SEGURIDAD
Evaluacin de Seguridad Informtica La evaluacin de seguridad est orientada a establecer mayores detalles tcnicos de la seguridad de la infraestructura de una organizacin. Son menos formales y tienden a ofrecer mayor detalle y alcance que las auditoras. El proceso de evaluacin usualmente se lleva a cabo por un equipo de expertos en tecnologa (generalmente con experiencia y trayectoria en este tipo de trabajos) bajo el auspicio de un comit ad-hoc conformado por personal de la organizacin, ms que por auditores certificados. La evaluacin es considerada un arte, en comparacin con el enfoque estructurado que desarrollan los auditores. Al igual que las auditoras, las evaluaciones siempre estn limitadas en su alcance. Sin embargo, tienden a ser lo suficientemente flexibles para abarcar detalles de bajo nivel. La evaluacin usualmente se encuentra enfocada a identificar los detalles tcnicos de las debilidades de seguridad, que luego conforman las bases para las recomendaciones y correcciones en la infraestructura de la compaa. Los resultados de una evaluacin generalmente se presentan en un reporte informal detallado de los hallazgos, al comit ad-hoc como herramienta para las decisiones relacionadas con los planes y presupuestos de seguridad en la organizacin. Dentro de este documento se incluye el anlisis de la infraestructura, detalles tcnicos de bajo nivel, estrategias utilizadas para el anlisis, los hallazgos ms significativos identificados y las recomendaciones para efectuar las correcciones necesarias sobre la infraestructura. Las principales amenazas que se prevn en la seguridad fsica son: Desastres naturales, incendios accidentales tormentas e inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados. No hace falta recurrir a pelculas de espionaje para sacar ideas de cmo obtener la mxima seguridad en un sistema informtico, adems de que la solucin sera extremadamente cara. A veces basta recurrir al sentido comn para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas reas siguen siendo tcnicas vlidas en cualquier entorno. A continuacin se analizan los peligros ms importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevencin, reduccin, recuperacin y correccin de los diferentes tipos de riesgos. Incendios Inundaciones Se las define como la invasin de agua por exceso de escurrimientos superficiales o por acumulacin en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial.

Esta es una de las causas de mayores desastres en centros de cmputos.Adems de las causas naturales de inundaciones, puede existir la posibilidad de una inundacin provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras. Condiciones Climatolgicas Seales de Radar La influencia de las seales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiado desde hace varios aos. Los resultados de las investigaciones ms recientes son que las seales muy fuertes de radar pueden inferir en el procesamiento electrnico de la informacin, pero nicamente si la seal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podra ocurrir slo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algn momento, estuviera apuntando directamente hacia dicha ventana. Instalaciones Elctricas Ergometra Acciones Hostiles Robo Las computadoras son posesiones valiosas de las empresas y estn expuestas, de la misma forma que lo estn las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de mquina. La informacin importante o confidencial puede ser fcilmente copiada. Muchas empresas invierten millones de dlares en programas y archivos de informacin, a los que dan menor proteccin que la que otorgan a una mquina de escribir o una calculadora. El software, es una propiedad muy fcilmente sustrable y las cintas y discos son fcilmente copiados sin dejar ningn rastro Fraude Cada ao, millones de dlares son sustrados de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compaa, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que ms bien pierden en imgen, no se da ninguna publicidad a este tipo de situaciones. Sabotaje El peligro ms temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han

encontrado que la proteccin contra el saboteador es uno de los retos ms duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Fsicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la informacin desaparece, aunque las cintas estn almacenadas en el interior de su funda de proteccin. Una habitacin llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos. Adems, suciedad, partculas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las lneas de comunicaciones y elctricas pueden ser cortadas, etc. Control de Accesos El control de acceso no slo requiere la capacidad de identificacin, sino tambin asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, rea o sector dentro de una empresa o institucin. Utilizacin de Guardias Utilizacin de Detectores de Metales El detector de metales es un elemento sumamente prctico para la revisin de personas, ofreciendo grandes ventajas sobre el sistema de palpacin manual. La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metlico mnimo, a partir del cual se activar la alarma. La utilizacin de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuar como elemento disuasivo. Utilizacin de Sistemas Biomtricos Seguridad con Animales Sirven para grandes extensiones de terreno, y adems tienen rganos sensitivos mucho ms sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuyen considerablemente utilizando este tipo de sistema. As mismo, este sistema posee la desventaja de que los animales pueden ser engaados para lograr el acceso deseado. SEGURIDAD LGICA Y CONFIDENCIAL La seguridad lgica se encarga de los controles de acceso que estn diseados para salvaguardar la integridad de la informacin almacenada de una computadora, as como de controlar el mal uso de la informacin. La seguridad lgica se encarga de controlar y salvaguardar la informacin generada por los sistemas, por el software de desarrollo y por los programas en aplicacin. Identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especifico, de las redes y terminales. La falta de seguridad lgica o su violacin puede traer las siguientes consecuencias a la organizacin: Cambio de los datos antes o cuando se le da entrada a la computadora. Copias de programas y /o informacin.

 Cdigo oculto en un programa Entrada de virus La seguridad lgica puede evitar una afectacin de prdida de registros, y ayuda a conocer el momento en que se produce un cambio o fraude en los sistemas. Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contrasea antes de permitirle el acceso a informacin confidencial. Sin embargo, los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computacin, por lo que no es conveniente depender de esos paquetes por si solos para tener una seguridad adecuada. El sistema integral de seguridad debe comprender: Elementos administrativos. Definicin de una poltica de seguridad. Organizacin y divisin de responsabilidades. Seguridad lgica Tipos de usuarios: Propietario. Es el dueo de la informacin, el responsable de sta, y puede realizar cualquier funcin. Es responsable de la seguridad lgica, en cuanto puede realizar cualquier accin y puede autorizar a otros usuarios de acuerdo con el nivel que desee darles. Administrador. Slo puede actualizar o modificar el software con la debida autorizacin, pero no puede modificar la informacin. Es responsable de la seguridad lgica y de la integridad de los datos. Usuario principal. Est autorizado por el propietario para hacer modificaciones, cambios, lectura y utilizacin de los datos, pero no puede dar autorizacin para que otros usuarios entren. Usuario de explotacin. Puede leer la informacin y utilizarla para explotacin de la misma, principalmente para hacer reportes de diferente ndole. Usuario de auditora. Puede utilizar la informacin y rastrearla dentro del sistema para fines de auditora. Los usuarios pueden ser mltiples, y pueden ser el resultado de la combinacin de los antes sealados. Se recomienda que exista slo un usuario propietario, y que el administrador sea una persona designada por la gerencia de informtica. Para conservar la integridad, confidencialidad y disponibilidad de los sistemas de informacin se debe tomar en cuenta lo siguiente: La integridad es la responsabilidad de los individuos autorizados para modificar datos o programas o de los usuarios a los que se otorgan acceso a aplicaciones de sistema o funciones fuera de sus responsabilidades normales de trabajo.

La confidencialidad es responsabilidad de los individuos autorizados para consultar o para bajar archivos importantes para microcomputadoras. La responsabilidad es responsabilidad de individuos autorizados para alterar los parmetros de control de acceso al sistema operativo, al sistema operativo, al sistema manejador de base de datos, al monitoreo de teleproceso o al software de telecomunicaciones