UNIDAD IV.

EVALUACION DE LA SEGURIDAD

GENERALIDADES DE LA SEGURIDAD DEL AREA FISICA El objetivo es establecer polticas, procedimientos y practicas para evitar las interrupciones prolongadas del servicio de procesamiento de datos, informacin debido a contingencias como incendio, inundaciones, huelgas disturbios, sabotaje etc. y continuar en un medio de emergencias hasta que sea reestructurado el servicio completo. PRECAUCIONES QUE SE DEBEN TENER EN CUENTA Los ductos del aire acondicionado deben estar limpios ya que son una de las principales causas del polvo y se habr de contar con detectores de humo que indiquen la posible presencia de fuego. En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible, tanto en la computadora como en la red y en los equipos de teleproceso En cuanto a los extintores, se debe revisar en numero de estos, su capacidad, fcil acceso peso y tipo de producto que utilizan. Otro de Ios, problemas es la utilizacin de los extintores inadecuados que pueden provocar mayor perjuicio a las maquinas (extintores lquidos) o que provocan gases txicos Tambin se debe ver que el personal sepa usar los equipos contra incendio y si ha habido practica en cuanto a su uso. Se debe verificar que existan deferentes salidas de emergencia y que estn debidamente controladas para evitar robos por medio de estas salidas. Los materiales mas peligrosos son las cintas magnticas que, al quemarse, producen gases txicos y el papel carbn es altamente inflamable.

SEGURIDAD LOGICA y CONFIDENCIAL Las computadoras son un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas e instituciones y puede ser mal utilizada o divulgada a personas que hagan mal uso de estas. Durante mucho tiempo se considero que los procedimientos de auditoria y seguridad eran responsabilidad de la persona que elabora los sistemas sin considerar que son responsabilidad del usuario y del departamento de auditoria interna. Al auditar los sistemas, se debe tener cuidado que no se tengan copias piratas o bien que al conectarnos a la red con otros computadoras, no exista la posibilidad de transmisin del virus.

El crecimiento de los fraudes por computadora han hecho patente que la potenciabilidad de los crmenes crece en forma mas rpida que en los sistemas de seguridad. Se considera que hay cuatro factores que han permitido el incremento en los crmenes por computadora: 1. El aumento del numero de personas que se encuentra estudiando computacin 2. EI aumento al numero de empleados que tienen acceso a los equipos 3. La facilidad en el uso de los equipos de computo 4. EI incremento en la concentracin del nmero de aplicaciones y, consecuentemente de la informacin. A aumento de los fraudes hechos a los sistemas computarizados se han perfeccionado los sistemas de seguridad tanto fsica como lgica. Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Uno de los puntos que se pueden auditar con mas detalla es el de tener las cifras de control y el medio adecuado que nos permita en el momento que se produce un cambio o fraude en el sistema. SEGURIDAD EN EL PERSONAL Un buen centro de cmputo depende, de la integridad, estabilidad y lealtad de personal, por lo que al momento de reclutarlo es conveniente hacerle exmenes psicolgicos, mdicos y tener en cuenta sus antecedentes de trabajo. Tambin se deben tener polticas de rotacin de personal que disminuyan la posibilidad de fraude, ya que un empleado puede estar haciendo otra actividad en un mes y seria muy arriesgado cometer un fraude. El programador honesto en ocasiones elabora programas que ponen en peligro la seguridad de la empresa, ya que no se consideran procedimientos de auditoria dentro de los programas tales que excluyan las posibilidades de fraudes CLASIFICACION DE LOS CONTROLES DE SEGURIDAD Dentro de los aspectos fundamentales que se deben contemplar en el diseo de cualquier centro de informtica, se encuentran la seguridad de los recursos informticos, del personal, de la informacin, de sus programas, etc. A continuacin se muestra los principales controles de seguridad:

Clasificacin de los controles de seguridad Seguridad fsica Seguridad lgica Seguridad de las bases de datos Seguridad en la operacin Seguridad del personal de informtica Seguridad de las telecomunicaciones Seguridad en las redes SEGURIDAD EN LOS DATOS Y SOFTWARE DE APLlCACION Es el control que se establece en el sistema en forma administrativa; esto significa que por medio de procedimientos, claves y niveles de acceso, se permite el uso del sistema, de sus archivos y de su informacin a los usuarios y al personal autorizado; dichos procedimientos van desde el registro de los usuarios y la asignacin de equipos y terminales, hasta el establecimiento de privilegios, limites y monitoreo de uso de sistemas, programas e informacin. En todos los casos de acuerdo con el nivel del usuario, o a su importancia para el sistema y a las polticas de la empresa y del rea de sistemas. Es la proteccin especifica de la informacin que se maneja en las reas de sistemas de la empresa, ya sea a travs de las medidas de seguridad y control que limiten el acceso y uso de esa informacin, o mediante sus respaldos peridicos con el fin de mantener su confidencialidad y prevenir las alteraciones descuidos y otros actos delictivos que afecten su manejo. El fraude es el delito mas creativo: requiere de las mentes ms agudas y podemos decir que es prcticamente imposible de evitar. En el momento en que se descubre el remedio, alguien inventa algo nuevo Esta norma define el fraude y el error e indica que la responsabilidad de la prevencin de los mismos radica en la administracin. El auditor deber planear la auditoria de modo de que exista una expectativa razonable de detectar anomalas importantes resultantes del fraude y el error. Se sugieren procedimientos que deben considerarse cuando el auditor tiene motivos para creer que existe fraude o error.

4.5 Controles para prevenir amenazas y fraudes informticos Responsabilidad de la Gerencia: La responsabilidad por la prevencin y deteccin de fraude y error descansa en la gerencia que debe implementar y mantener sistemas de contabilidad adecuados. Responsabilidad del Auditor:

El auditor no es y no puede ser responsable de la prevencin del fraude o error, sin embargo, el hecho de que se lleve a cabo una auditoria anual, puede servir para contrarrestar fraudes o errores, Controles para prevenir amenazas y fraudes informticos Para prevenir el acceso no autorizado, los usuarios deben usar un sistema de contraseas robusto y activar el protector de pantalla manualmente cada vez que se ausente de su oficina. Los datos confidenciales que aparezcan en la pantalla deben protegerse de ser vistos por otras personas mediante disposicin apropiada del mobiliario de la oficina y protector de pantalla. Cuando ya no se necesiten o no sean de utilidad, los datos confidenciales se deben borrar Debe implantarse un sistema de autorizacin y control de acceso con el fin de restringir la posibilidad de los usuarios para leer, escribir, modificar, crear, o borrar datos importantes. No esta permitido llevar al sitio de trabajo computadoras porttiles (Iaptops) y en caso de ser necesario se requiere solicitar la autorizacin correspondiente. No debe borrarse la informacin original no cifrada hasta que se haya comprobado que se puede recuperar desde los archivos encriptados mediante el proceso de descifrado. No deben salirse las impresoras desatendidas, sobre todo si se est imprimiendo (o se va a imprimir) informacin confidencial de la Compaa. El personal que utiliza un computador porttil que contenga informacin confidencial de la Compaa, no debe dejarla desatendida, sobre todo cuando est de viaje, y adems esa informacin debe estar cifrada.

Reenvo de mensajes Tomando en cuenta que cierta informacin esta dirigida a personas especficas y puede no ser apta para otros, dentro y fuera de la Compaa, se debe ejercer cierta cautela al remitir los mensajes. En todo caso no debe remitirse informacin confidencial de la Compaa sin la debida aprobacin. Borrado de mensajes Los mensajes que ya no se necesitan deben ser eliminados peridicamente de su rea de almacenamiento. Con esto se reducen los riesgos de que otros puedan acceder a esa informacin y adems se libera espacio en disco.

Cuentas de los usuarios

No debe concederse una cuenta a personas que no sean empleados de la Compaa a menos que estn debidamente autorizados, en cuyo caso la cuenta debe expirar automticamente al cabo de un lapso de 30 das. Privilegios especiales, tal como la posibilidad de modificar o borrar los archivos de otros usuarios, slo deben otorgarse a aquellos directamente responsable de la administracin o de la seguridad de los sistemas. Toda cuenta queda automticamente suspendida despus de un cierto periodo de inactividad. El periodo recomendado es de 30 das. Cuando un empleado es despedido o renuncia a la Compaa, debe desactivarse su cuenta antes de que deje el cargo. Contraseas v el control de acceso El usuario no debe guardar su contrasea en una forma legible en archivos en disco, y tampoco debe escribirla en papel y dejarla en sitios donde pueda ser encontrada. Si hay razn para creer que una contrasea ha sido comprometida, debe cambiarla inmediatamente. No deben usarse contraseas que son idnticas o substancialmente similares a contraseas previamente empleadas. Siempre que sea posible, debe impedirse que los usuarios vuelvan a usar contraseas anteriores. Nunca debe compartirse la contrasea o revelarla a otros. El hacerlo expone al usuario a las consecuencias por las acciones que los otros hagan con esa contrasea. Controles para evaluar el software de aplicacin Revisar la seguridad del software sobre ficheros de datos y programas Revisar las libreras utilizadas por los programadores Examinar que los programas realizan lo que realmente se espera de ellos. Revisar el inventario de software. Comprobar la seguridad de datos y ficheros Examinar los controles sobre los datos

Planes de Contingencia Toda empresa debe contar que son los Planes de Contingencia. As independientemente de que las estrategias se formulen, implanten y evalen con gran cuidado, hay circunstancias imprevistas como huelgas,

boicots, desastres naturales, presencia de competidores extranjeros y acciones gubernamentales que pueden hacer que la estrategia quede obsoleta. Para reducir al mnimo el impacto de las amenazas en potencia, las organizaciones deben desarrollar planes de contingencia como parte de su proceso para evaluar estrategias. Los planes de contingencia se pueden definir como planes alternativos que se pueden poner en prctica cuando ciertos hechos clave no ocurren como se esperaba. Slo las reas que tienen verdadera prioridad requieren la seguridad de planes de contingencia. Los estrategas no pueden ni deben tratar de cubrir todas las bases, haciendo planes para todas las contingencias posibles. Cuando las actividades para evaluar estrategias revelan rpidamente la necesidad de un cambio mayor, el plan de contingencia adecuado se puede ejecutar en forma oportuna. Los planes de contingencia pueden mejorar la capacidad del estratega para responder velozmente a los cambios clave operados en las bases internas y externas de la estrategia presente de la organizacin. Por ejemplo, si los supuestos bsicos acerca de la economa resultan equivocados y existen planes de contingencia ya preparados, en tal caso los gerentes pueden hacer los cambios adecuados con oportunidad. SEGUROS Los seguros de los equipos en algunas ocasiones se dejan en segundo trmino aunque son de gran importancia. Existe un gran problema en la obtencin de los seguros ya que a veces el agente de los seguros es una persona que conoce mucho de seguros; riesgos comerciales, riesgos de vida, etc. Pero muy poco sobre computadoras, y el personal de informtica conoce mucho sobre computacin y muy poco sobre seguros. Se deben verificar las fechas de vencimiento de las plizas, pues puede suceder que se obtenga la pliza adecuada pero vencida, y que se encuentre actualizada con los nuevos equipos. El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el equipo con las diferentes caractersticas por lo cual convenga tener dos o mas plizas por separado, cada una con las especificaciones necesarias. El seguro debe cubrir tantos daos causados por factores externos (terremotos, inundaciones, etc.)Como factores internos (daos ocasionados por negligencia de los operadores, daos debidos al aire acondicionado). PROCEDIMIENTOS DE RECUPERACIN DE DESASTRES Se debe establecer en cada direccin de informtica un plan de emergencia el cual ha de ser aprobado por la direccin de informtica y contener tanto procedimientos como informacin para ayudar a la recuperacin de interrupciones en la operacin del sistema de cmputo. Algunas compaas se resisten a tener un plan para caso de desastres o emergencia, considerado que esto es imposible. El sistema debe ser probado y utilizado en condiciones anormales, para que en caso de usarse en situaciones de emergencia se tenga la seguridad que funcione.

Las revisiones al plan se deben realizar cuando se halla efectuado algn cambio en la configuracin del equipo o bien en periodos semestrales. Una de las principales objeciones al plan de emergencia es su costo. El plan de emergencia, una vez aprobado, se distribuyen entre personal responsable de su operacin, por precaucin es conveniente tener una copia fuera de la direcciones de informtica. La virtud de la informacin que contiene el plan de emergencia se considera como confidencial o de acceso restringido. La Elaboracin del plan y los componentes pueden hacerse en forma independiente de acuerdo con los requerimientos de emergencia. La estructura del plan debe ser tal que facilite su actualizacin. Los desastres que pueden suceder se pueden clasificar de la siguiente manera: Completa destruccin del centro de computo Destruccin parcial del centro de computo Destruccin o mal funcionamiento de los equipos auxiliares del centro de computo (electricidad, aire acondicionado, etc.) Destruccin parcial o total de los equipos descentralizados Perdida total o parcial de informacin, manuales o documentacin Perdida del personal clave Huelga problemas laborales El plan en caso de desastre debe incluir: La documentacin de programacin y de operacin de los equipos El equipo completo El ambiente de los equipos Datos y archivos Papelera y equipo accesorio Sistemas (sistemas operativos, base de datos, programas de utilera, programas). Cuando el plan sea requerido debido a una emergencia, el grupo deber: Asegurar que todos los miembros sean notificados Informar al director de informtica Cuantificar el dao o perdida del equipo, archivos y documentos para definir que parte del plan debe ser activada Determinar el estado de todos los sistemas en proceso Notificar a los proveedores del equipo cual fue el dao Es conveniente incluir en el acuerdo de soporte reciproco los siguientes puntos: Configuracin del equipo Configuracin de equipo de captacin de datos Sistemas operativos

Configuracin de equipos perifricos Finalmente se deber estudiar que se tenga una lista de los requerimientos mnimos que deben tener para un efectivo plan de recuperaciones caso de desastre. TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FSICA Y DEL PERSONAL Seguridad fsica El objetivos establecer polticas, procedimientos y practicas para evitar las interrupciones prolongadas del servicio de procesamientos de datos, informacin debido a contingencias como incendios, inundaciones, huelgas, disturbios, sabotaje, etc. Y continuar en un medio de emergencia asta que sea restaurado el servicio por completo. Pensemos que una persona que desea perjudicar a la organizacin querr daar su cerebro o centro de informacin, por lo que en la actualidad se considera extremamente peligroso tener el centro de cmputo en las reas de alto grafico de personas o bien en la calle o con un alto numero de invitados. Entre las precauciones que se deben revisar estn: Los ductos del aire acondicionado deben de estar limpios, se habr contar con detectores de humo que indiquen la posible presencia del fuego. En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible, tanto en la computadora como en la red y los equipos de teleproceso. En cuanto a los extinguidotes, se debe de revisar el numero de estos, su capacidad, fcil acceso, peso y tipo de producto que se utiliza. Tambin se debe ver si el personal sabe usar los equipos contra incendios y si a habido practicas en cuanto su uso Existan suficientes salidas de emergencia y que estn debidamente controladas para evitar robos Seguridad en el personal Un buen centro de cmputo depende, en gran medida, de la integridad, estabilidad y lealtad de personal por lo que el momento de reclutarlo es conveniente hacerle exmenes psicolgicos, mdicos y tener muy en cuenta sus antecedentes de trabajo. Se debe considerar los valores sociales, en general, su estabilidad ya que normalmente son personas que trabajan bajo presin y con mucho estrs, por lo que importan mucho su actitud y su comportamiento. Se deben verificar que existan adecuadas polticas de vacaciones (lo cual nos permite evaluar la dependencia con algunas personas y evitar esa dependencia) y de reemplazo. La adecuada poltica de reemplazo en caso de renuncia alguna persona permitir que en caso necesario, se pueda cambiar a una persona sin arriesgar el funcionamiento de la organizacin. Tambin se deben tener polticas de rotacin del personal que desminuyan la posibilidad de fraude, ya que un empleado puede estar haciendo otra actividad en un mes y ser muy allegado cometer un fraude, sabiendo que la nueva persona que este en su lugar puede detectarlo fcilmente. Eso se debe hacer

principalmente en funciones de alto nivel de confianza, aunque implique un alto costo. Se deber tambin evaluar la motivacin del personal ya que un empleado motivado normalmente tiene un alto grado de lealtad y disminuir la posibilidad de ataques intencionados a la organizacin.