12.

4 Seguridad de los archivos del sistema

Objetivo: Garantizar la seguridad de los archivos del sistema. Se debiera controlar el acceso a los archivos del sistema y el cdigo fuente del programa, los proyectos y las actividades de soporte se debieran realizar de una manera segura.
12.4.1 Control del software operacional Control Se debieran establecer procedimientos para el control de la instalacin del software en los sistemas operacionales. Para minimizar el riesgo de corrupcin de los sistemas operacionales, se debieran considerar los siguientes lineamientos para controlar los cambios: a) La actualizacin del software. b) Los sistemas operacionales slo debieran mantener cdigos ejecutables aprobados. c) Verificacin de seguridad de los software y aplicaciones d) Utilizar un sistema de control de configuracin e) Hacer un respaldo f) Mantener registro de auditoria. g) Mantener versiones del software. h) Archivar versiones antiguas del software.

12.4.2 Proteccin de la data del sistema La data de prueba se debiera seleccionar cuidadosamente, y se debiera proteger y controlar. a) b) c) d) Procedimientos de control de acceso. Autorizacin para la copia de informacin. Borrar informacin de sistemas. Hacer un copiado y uso de la informacin. 12.4 3 Control de acceso al cdigo fuente del programa Se debiera restringir el acceso al cdigo fuente del programa a) b) c) d) e) f) No mantener cdigos fuentes en los sistemas operacionales Cdigo fuente de programas deben ser utilizado de a cuerdo a normas. Realizar la actualizacin del cdigo fuente con la debida autorizacin. Listados de programas deben estar en un lugar seguro. Mantener registros de auditoria al cdigo fuente del programa. El mantenimiento y copiado del programas deber estar sujetos a procedimientos.

12.5 Seguridad en los procesos de desarrollo y soporte Mantener la seguridad del software y la informacin del sistema de aplicacin. Se debiera controlar estrictamente los ambientes del proyecto y soporte. 12.5.1 Procedimientos del control del cambio Se debiera controlar la implementacin de los cambios mediante el uso de procedimientos formales para el control del cambio. Los procedimientos de cambio debieran incluir: a) Mantener un registro de autorizacin de cambios acordados. b) Obtener aprobacin para propuestas detalladas antes de comenzar el trabajo. c) Asegurar q los usuario deben aceptar los cambios antes de la implementacin. d) Mantener un control de versiones para actualizacin del software. e) Asegurar que la actualizacin haya sido correcta y la documentacin se archive o se elimine.

12.5.2 Revisin tcnica de la aplicacin despus de cambios en el sistema Cuando se cambian los sistemas de operacin, se debieran revisar y probar las aplicaciones comerciales crticas para asegurar que no exista un impacto adverso sobre las operaciones organizacionales o en la seguridad. Este proceso debiera abarcar: a) Asegurar que el plan y presupuesto abarque la prueba de sistemas de operacin. b) Asegurar que la notificacin de los cambios en el sistema de operacin sea provista con tiempo. Se le debiera asignar a un grupo o persona especfica la responsabilidad de monitorear las vulnerabilidades y los parches y arreglos que lancen los vendedores. 12.5.3 Restricciones sobre los cambios en los paquetes de software No se debieran fomentar modificaciones a los paquetes de software, se debieran limitar a los cambios necesarios y todos los cambios debieran ser estrictamente controlados. considerar los siguientes puntos: a) El riesgo de comprometer los controles incorporados y los procesos de integridad. b) La organizacin se hace responsable sobre el mantenimiento de futuro software.

12.5.4 Filtracin de informacin Se debieran evitar las oportunidades para la filtracin de informacin. Se debieran considerar los siguientes puntos para limitar la filtracin de la informacin: a) Modular la conducta del sistema para que terceras personas puedan deducir informacin. b) Hacer uso de los sistemas y software considerada con la mas alta integridad (ISO). c) Monitorear la utilizacin del recurso en los sistemas de cmputo. d) Monitoreo regular de las actividades del personal y de del sistema de computo. 12.5.5 Desarrollo de software abastecido externamente El desarrollo del software abastecido externamente debiera ser supervisado y monitoreado por la organizacin.

Cuando el software es abastecido externamente, se debieran considerar los siguientes puntos:

a) b) c) d) Contratos de licencias, propiedad de cdigos, derechos de propiedad intelectual. Certificacin de calidad y exactitud del trabajo. Requerimientos contractuales para la funcionalidad de calidad y seguridad del cdigo. Prueba antes de la instalacin para detectar cdigos maliciosos y Troyanos.