UNIDAD 3 ADMINISTRACIN DE LA SEGURIDAD INFORMTICA

OBJETIVOS PARTICULARES DE LA UNIDAD

Al trmino de la unidad, el alumno:
Entender la importancia de la funcin, y como parte fundamental del entorno
globalizado de negocios.
Planear la funcin de seguridad informtica como parte clave de las
organizaciones.
Describir las prcticas administrativas que son necesarias para el buen
funcionamiento de la funcin de seguridad informtica.
3.1 OBJETIVOS AL ADMINISTRAR LA FUNCION
Sus objetivos son identificar, analizar, y eliminar o controlar las fuentes de
riesgos antes de que empiecen ha amenazar el funcionamiento continuo y
confiable de los sistemas de informacin.
La seguridad de la informacin tiene dos aspectos. El primero consiste en negar el
acceso a los datos a aquellas personas que no tengan derecho a ellos, al cual
tambin se le puede llamar proteccin de la privacidad, si se trata de datos
personales, y mantenimiento de la seguridad en el caso de datos institucionales.
Un segundo aspecto de la proteccin es garantizar el acceso a todos los datos
importantes a las personas que ejercen adecuadamente su privilegio de acceso,
las cuales tienen la responsabilidad de proteger los datos que se les ha confiado.
En general, la proteccin de los datos requiere ejercer un control sobre la lectura,
escritura y empleo de esa informacin. Para obtener mayor eficiencia en la
proteccin se debe tener siempre presente la proteccin de los datos, el
mantenimiento de la privacidad y la seguridad del secreto.
[ASI]
3.1.1 ADMINISTRACIN Y CONTROL DE CAMBIOS
Controles.
Control Dual. Existen ciertos procesos que no pueden ser validados o
verificados por una actividad posterior. En este caso se requiere la
intervencin conjunta de dos personas antes de consumar la operacin. El
conjunto dual se cumple al recabar una segunda firma de autorizacin
verificando que los datos coincidan.
Controles de Entrada
Los datos de entrada deben ser validados lo ms cerca posible del punto de
origen, los procedimientos para el manejo de errores deben colocarse en el
lugar apropiado para facilitar el reproceso oportuno y preciso.

 Manejo de errores de entrada.

Debern revisarse los procedimientos de manejos de errores relacionados con
la correccin y retroalimentacin de los datos.
Es necesario determinar si los errores son desplegados o listados
inmediatamente despus de su deteccin y si stos son claros y fcilmente
comprensibles.
Todos los datos rechazados debern ser grabados en forma automtica y
supervisados antes de volver a iniciar su proceso

Controles de Procesamiento.
El procesamiento de los datos por programas de aplicacin individuales,
deben ser controlados para asegurar que ningn dato es agregado, removido
o alterado durante el proceso.
Se deber incluir:
Que existan pistas de auditoria para permitir la reconstruccin de archivos de
datos, cuando se requiera.
Probar si los datos pueden ser rastreados hasta el punto de origen.
Determinar si el Departamento de Sistemas de Informacin tiene un grupo de
control que lleve a cabo actividades como las siguientes:
Control de las actividades de las terminales
Investigar cualquier desviacin del operador respecto a los procesos
establecidos
Asegurarse que los reinicios se realicen adecuadamente.
Balance de los controles de lote y de registros procesados
Totales de control
Deben revisarse las condiciones o medidas incorporadas en los programas
para la integridad de los procesos previendo lo siguiente:
Que impida la entrada de datos por consola
Que se identifiquen los datos a ser procesados
Que los programas verifiquen las etiquetas internas
Que las etiquetas finales incluyen cifras de control
Los conceptos sealados tambin son aplicables para aquellas transacciones
que hayan sido rechazadas por el sistema.
Para lograr lo anterior, es conveniente auxiliarse de la misma computadora
detectando los errores de procesamiento.
Por esto es necesario.
Determinara qu facilidades de hardware y utileras de software estn
disponibles para utilizarse en la deteccin y correccin de errores.
Verificar que la contabilidad de los y trabajos y los reportes de error incluyan:
Nombre y nmero del trabajo

 Tiempo de ejecucin, inicio y final.

Razn de terminacin
Mensajes de error
Todas las interrupciones y participacin del operador
Verificar si el sistema genera reportes por excepcin que incluyan:
Intentos no autorizados de acceso a archivos restringidos
Exceso de tiempo de corridas de trabajo
Reproceso de aplicaciones de produccin
Terminaciones anormales y errores detectados en las estadsticas de
control
Controles de salida.
Los reportes de salida deben ser revisados en cuanto a su racionalidad y
distribucin oportuna a los destinatarios autorizados.
Los reportes de salida beben ser revisados en cuanto a forma e integridad,
determinando si han sido establecidos y documentados los procedimientos
relacionados con el balanceo y conciliaciones de salidas.
Algunas de las validaciones son:
Determinar si toda la informacin necesaria esta disponible en los reportes, si
todas la excepciones son reportadas, si incluyen todas las excepciones posibles y
si los totales son exactos.
Es necesario tambin en conjuncin con los usuarios verificar si:
Los reportes que reciben son relevantes
La informacin que incluye es exacta, confiable y til
Tiene necesidades de informacin no incluidas
Existen reportes que no son de utilidad
Tienen sugerencias en cuanto a su frecuencia y contenido
Las salidas deben ser balanceadas contra los totales de control, revisando los
procedimientos para esto.
La redistribucin de las salidas debe estar de acuerdo con las instrucciones
escritas revisando:
a. Su integridad y exactitud
b. Modificaciones e instrucciones iniciales
c. Existencia de las listas de distribucin por aplicacin actualizada.
d. Verificar si estas listan incluyen; frecuencia del reporte, distribucin de los
originales y copia e instrucciones especiales (si es el caso).
e. Deben existir procedimientos para reportar y controlar errores determinados
en las salidas, incluyendo la comunicacin con el rea responsable de
solucionarlos
f. Lo ideal es establecer una bitcora que seale:
g. Identificacin de los problemas registrando la fecha y hora en que se
contacto al personal de sistema.
h. La accin correctiva que se tomo.
i. Fecha y hora en que se corrigi y responsable de esto.

j. Causas y tendencias de los errores de salida

k. Procedimiento para garantizar que los errores son corregidos en su
totalidad.
Controles administrativos
Separacin de funciones.
El auditor deber preocuparse porque exista una adecuada separacin de
funciones para prevenir un mal uso de la computadora e inclusive fraudes en la
utilizacin de los archivos, recursos materiales o documentos negociables. Esto
incluye el grupo de procesamiento de datos as como las relaciones entre estos y
el grupo de usuarios

Controles de Ambiente y seguridades Fsicas

Estos controles estn orientados al objetivo sealado de continuidad del servicio y

depende en gran parte de las condiciones ambientales externas e internas como:
planta de energa propia, temperatura y humedad controlada
Estos controles ambientales no slo son aplicables en el rea de la computadora,
sino tambin en la biblioteca.
El cumplimiento de estos objetivos se puede asegurar utilizando:
a. Registro de los termmetros localizados en el centro.
b. Registro de indicadores de humedad
c. Registro de indicadores de voltaje
d. Revisin de pruebas peridicas de los procedimientos para operar con la
planta auxiliar de energa elctrica
e. Revisiones de los resultados de las condiciones que guardan los sistemas
de proteccin contra fuego.
Otra rea de intervencin del auditor en informtica est relacionada con los dos
aspectos siguientes relacionados con seguridades fsicas.
Proteccin del equipo de cmputo, programas y archivos y el acceso no
autorizado a informacin confidencial o al programa. Los controles generales para
seguridad fsica incluyen:
a. Acceso controlado para prevenir entradas no autorizadas al rea de
operacin, biblioteca y lugares en donde se encuentren documentos
negociables.
b. Procedimientos de autorizacin y criterio para limitar las entradas de
personal a reas restringidas
c. Procedimientos autorizacin y criterios para la conservacin del contenido
de la biblioteca.
d. Acceso en lnea a la informacin
Para evaluar los controles de seguridad fsica es posible utilizar guas de auditora
tomadas en literatura existente, adecuada a las particularidades de la
organizacin.

Tambin es importante evaluar dentro de esta etapa otros factores que puedan
representar riegos para el centro de procesos.
Las siguientes son algunas de las medidas de seguridad Fsica recomendables en
un Centro de Cmputo; que incorporan aspectos relativos a la propia construccin
y ubicacin.
Ubicacin
Se refiere al lugar definido para operar el centro de cmputo en donde tendremos
que validar, entre otras cosas:
Facilidad de acceso
Alimentacin de Energa elctrica
ndice de delincuencia
Empresas vecinas (altamente contaminantes)
ndice de fenmenos naturales: Sismos y tormentas
En esta parte es importante seleccionar, a travs de un estudio adecuado, el lugar
ideal para recibir las instalaciones del Centro de Procesos. Podemos decir que son
pocas las instalaciones en las que se tom en cuenta este factor.
Construccin
Nos referimos a los materiales utilizados en la edificacin del Centro de Procesos
que permitan entre otras cosas:
a. Soportar un ataque directo desde el exterior
b. Que no incluyan en la medida de lo posible materiales que puedan originar
un incendio
c. Que no existan ventanas al exterior
d. Que se incluyan bvedas resistentes al calor
e. Incorporacin de barreras para cortar o aislar un incendio
Otro aspecto importante cundo hablamos de la construccin, es el concepto de
anonimato, que nos seala que no es conveniente identificar claramente el
contenido de nuestro edificio, de tal suerte que no sea fcil sealar el local como la
parte ms vulnerable de la organizacin.
Controles de acceso
Trata de los dispositivos de seguridad, que atienden el acceso al rea del Centro
de Proceso e incluyen:
a) Guardia de seguridad con entrenamiento adecuado.
b) Cerraduras de combinacin y(o) magnticas
c) Circuito cerrado de televisin (incluye el acceso principal y reas de
operacin)
d) Puertas blindadas bajo el sistema de doble puerta
e) Registro de visitantes
f) Gafetes de identificacin
g) Sistemas integrales de control a travs de microcomputadoras

[ASI]
3.1.2 CLASIFICACION DE DATOS E INFORMACION
Propiedades de la Informacin que protege la Seguridad Informtica
La Seguridad Informtica debe vigilar principalmente las siguientes propiedades:
Identificacin
Es un cdigo o contrasea que se emita aun usuario autorizado de la red, que
debe mantener la confiabilidad de ello para ingresar a la red, los usuarios solo
requieren utilizar su ID o contrasea.
Privacidad
La informacin debe ser vista y manipulada nicamente por quienes tienen el
derecho o la autoridad de hacerlo. Un ejemplo de ataque a la Privacidad es la
Divulgacin de Informacin Confidencial.
Integridad
La informacin debe ser consistente, fiable y no propensa a alteraciones no
deseadas. Un ejemplo de ataque a la Integridad es la modificacin no autorizada
de saldos en un sistema bancario o de calificaciones en un sistema escolar.
Disponibilidad
La informacin debe estar en el momento que el usuario requiera de ella. Implica
asegurar que los usuarios legtimos tengan acceso a la informacin y a los
recursos permitidos .Un ataque a la disponibilidad es la negacin de servicio (En
Ingls Denial of Service o DoS) o tirar el servidor
Confiabilidad
Implica asegurar la informacin no sea revelada a personas no autorizadas

3.1.3 PRCTICA Y POLTICAS RELATIVAS AL PERSONAL

La mayora de las instituciones han tomado conciencia de la creciente

dependencia en la integridad, estabilidad y lealtad del personal y dedican mayor
atencin a esta rea de la seguridad en computacin. La contratacin de personal
inapropiado para puestos de gran responsabilidad, como las operaciones y el
control, no es raro y necesariamente aumenta el riesgo de accidentes.
Existe el riesgo de que se dependa de manera excesiva en esta rea, sobre todo
en las instalaciones de anta seguridad, donde indagar acerca de los antecedentes
del personal es prctica de rutina. Estas instalaciones siempre son un blanco de
ataque; la prevencin de cualquier intento al respecto slo la garantizar un filtro
de seguridad a toda prueba.
1. POLTICAS DE CONTRATACIN
Casi todas las instituciones cuentan con un procedimiento de contratacin bien
estructurado y de rutina; sin embargo, en muchos casos ste se aplica con
demasiada flexibilidad. Desde el punto de vista de la seguridad, las caractersticas
ms importantes de una poltica de contratacin son:

Verificacin de referencias y antecedentes de seguridad

Pruebas psicolgicas

Exmenes mdicos

La verificacin de las referencias normalmente se pasa por alto. Muchas empresas

se muestran renuentes a proporcionar referencias tiles, debido a razones legales
o de otra ndole. Esto representa ciertas dificultades para evaluar la aceptabilidad
de un solicitante.

3.1.5 METODOLOGIAS Y HERRAMIENTAS PARA LA ADMINISTRACIN DE

RIESGOS EN GENERAL
Apuntes de la Profra. Nacira Mendoza Pinto
CUANTITATIVA

CUALITATIVA/SUBJETIVA

Utiliza modelos matemticos.

Proporciona una cifra
justificante para cada
Contramedida.

Enfoque a lo amplio que se desee.

Plan de trabajo flexible y creativo
Identificacin de eventos
Incluye factores tangibles.

Estimacin de prdidas
Potenciales solo si son exactas.
Metodologas estndares.
Difciles de mantener o modificar.
Dependencia de un profesional.

Depende de la habilidad y calidad

del personal.
Puede excluir riesgos significantes
(check list).
Identificacin de eventos reales ms
claros.
Dependencia de un profesional.

Cuestionario

Etapa 1

Identificacin de los riesgos

Etapa 2

Clculo del impacto

Etapa 3

Identificar los controles y el costo

Etapa 4

Simulaciones
Qu pasa si...?

Etapa 5

Creacin de los informes/reportes

ACTIVIDAD EN INTERNET

Etapa 6

Air SmartGate
Cyber Snoop
IAnalyst
Internet Cleanup
Internet Manager
Internet Resource Manager
Internet Risk Manager
NetFocus
System Activity Manager
Web Spy
Web Trends Firewall Suite
WinGaudian
ANALISIS DE RED
Abend-AID Fault Manager
Actiview Trouble Manager
AimIT
BindView
Centennial Discovery
Enterprise Security Manager
Event Log Monitor
Expert Observer
Kane Security Analyst
Link Analyst
NT Manage
NTRama
Sentinel Software Security
SPQuery
TripWire
WebTrends Netware Management
ANTI ESPIONAJE
Ad-Search
Anticotillas Plus
FlashLock
Guideon
Hook Protect
iProtect
PC Security Guard
Rainbow Diamond Intrusion Detector
Top Secret Office
ANTI SPAM

Spam Buster
Spamkiller
SpammerSlammer
ANTI VIRUS
AntiViral Toolkit Pro
AVTrojan
AVX
BootProtect
Compucilina
eSafe Protect
F-Secure
Fobiasoft Guardian
iRis Antivirus
Inoculate
InVircible Antivirus
Kaspersky Anti-Virus
MAMSoft
Norman Thunderbyte Virus Control
Norton Antivirus
Panda Antivirus Platinum
PC-cillin
Protector Plus
Quick Heal
RAV AntiVirus
Sophos
The Cleaner
Trojan Defense Suite
VirIT
ViruSafe Web
VirusScan
ARRANQUE
Access Denied
BootLocker
Boot Sentry
MindSoft Custody
ScreenLock
Sentry
SCUA Security
ThunderGuard
XLock
AUDITORIA

FileAudit
Log Monitor
SecurityCharge
BACKUP
@Backup
Adsm
ArcServe
AutoSave
Backup ATM Network
Backup Exec
Connected Online Backup
DataKeeper
Data Recovery for NetWare
Discview
Drive Image
ImageCast
NetBackup
Norton Ghost
Novabackup
Open File Manager
Replica
Retrospect
SurviveIT
Ultrabac
BLOQUEO Y RESTRICCION
Absolute Security
SecureIt Pro
Anfibia Soft Deskman
DeviceLock Me
RedHand Pro
StormWindow
Mindsoft Restrictor
MindSoft GuardianShip
Windows Security Officer
DesktopShield
Smart98
PC Restrictor
TrueFace
AceControl
CDLock
PC Lock
Deskman
GS98 Access Control

WinFile Vault
Lock n Safe
Clasp2000
ISS Complock
MicroManager
MausTrap
ChildProof
SecurityWizard
System Security
Desktop Locker 1.0
WinLock
COOKIES
Cache & Cookie Washer
Cookie Crusher
Cookie Pal
CyberClean
The Watchman
Window Washer
CONTRASEAS
Advanced Password Generator
Locker
007 Password Recovery
Aadun
Password Keeper
Info Keep
Planet.Keeper
EXE Protector
Random Password Generator
Password Corral
Passwords
Asterisco
Guardian
Office Password
PassGuard
PwlTool
Password Plus
Password Power
Claves
Password Tracker
QWallet
Password Pro
PassGo
Private Bookmarks

LockDown
v-GO Universal Password
Password Generator
MasterPass
Open Pass
WMVault
Software Safe
Password Guardian
Secret Surfer
ePassword Keeper
Password Pocket
Absolute Security
CONTROL REMOTO
AMI Server Manager
ControlIT
CoSession
LapLink
Kane Security Monitor
NetOp
NetSupport Manager
PcAnywhere
Proxy
ReachOut Enterprise
Remote Administrator
ServerTrak
Timbuktu Pro
TrendTrak
DETECTORES DE AGUJEROS DE SEGURIDAD
Check Point RealSecure
Hackershield "
Intruder Alert
LanGuard Network Scanner
Lucent RealSecure
NetProwler
NetRecon
PassMan Plus
SecureNet Pro Software
WebTrends Security Analyzer
ENCRIPTACION
Absolute Security
Cryptit

CryptoIdentify
Data Safe
FileCrypto
FileDisk Protector
NovaLock
RSA BSafe
SafeGuard LanCrypt
SafeSuite Realsecure
SECRETsweeper
Secure Shuttle Transport
SpartaCom Cryptogram
ShyFile
HotCrypt
Krypton Encoding System
File Protector
Invisible Secrets
ABI- CODER
Interscope BlackBox
TEACrypt
Xcrypto
DataCloak
MindSoft Shelter
Enigma
BestCrypt
PGP Asist
Jumblezilla
Folder Guard
Security BOX
Enigma 98
Easycrypto
Combo
Norton Secret Stuff
Text Watchdog
Emerald Encryption
InfoSafe
PCSafe
Quick:CRYPT
Encrypt IT!
FlyCrypt
CrypText
Encrypted Magic Folders
SecurityManager
Neocrypt
Unbreakable Encryption
The DESX Utility
WINZAP
SECURE

ThunderCrypt
Hideit! Pro
CodedDrag
Easy Code
AutoEncrypt
Cryptoman
Passworx
Kremlin
ENCRIPTACION COMUNICACIONES
Bbcom VPN
F-Secure VPN
Go Secure
GuardianPRO VPN
Intel VPN
KryptoGuard LAN and VPN
Power VPN
SafeGuard VPN
Sidewinder
SmartGate
SonicWall Pro
VPN 1 Internet Gateway
VPNWare System
ESPIONAJE
El Espa
Omniquad Detective
PC Spy
Snooper
AY Spy
RemoteView
Watcher
Keyboard Monitor
SpyAnywhere
MyGuardian
Stealth Activity
Canary
EventControl
KeyKey
Desktop Surveillance
Stealth Keyboard Interceptor
Boss Everyware
AppsTraka
Date Edit
IntraSpy

2Spy!
WinGuardian
Key Logger
Password Revealer
Activity Monitor
System Spy
Alot Monica
Spector
Stealth Logger
ASCII Spy
SupervisionCam
FILTROS PARA INTERNET
CommandView Message Inspector
Cyber Attack Defense System
Cyber Sentinel
Digital ID
e-Sweeper
Go Secure!
Mail-Gear
MailSweeper
MailVault
Predator Guard
Private-I
Real Secure
Shields UP
SigabaSecure
SmartFilter
WEBsweeper
World Secure Mail
FIREWALLS
Altavista Firewall
BlackIce
CheckPoint
Elron Firewall
FireProof Firewall KIT System
GuardianPRO Firewall "
GuardIT
HackTracer
MindSoft Firewall
NeoWatch
Netmax Firewall
Norton Personal Firewall
Raptor Firewall

Secure Connect Firewall

SmartWall
Sygate Personal Firewall
Tiny Personal Firewall
Watchguard Livesecurity SYS
WinRoute Pro
ZoneAlarm Pro
CyberArmor
GESTION DE ACCESOS
Absolute Protect
Access Manager Secondary Radius
Border Protector
GuardianPro Authentication
Hands Off Personal
iKey
Navis Radius Access Control
Palladium Secure Remote Access
PrivateEXE
Steel-Belted RADIUS
RSA SecurID
WinFuel
Azza Air Bus
c2000
Cnet/2
Defender
E-Z Lock
Identity Protector
Lock Protector
Navis Access
Panda Security
Personal Protector
SafeGuard easy
SafeWord Plus
SmartGuard
SmartLock
UserLock
VicinID
MANTENIMIENTO
Diskeeper
More Space
Partition Commander
Partition Magic
Security Setup

System Commander
Windows Commander
OCULTACION
WinShred
Don't Panic!
Camouflage
Boss
BlackBoard FileWipe
WebPassword
Invisible Files
Hidden 7
Sentry98
WipeClean
RECUPERACION DE DATOS
ConfigSafe Desktop
CoreSave
Easy Recovery
Easy Restore
eSupport
GoBack
Instant Recovery
PictureTaker Personal Edition
SecondChance "
System Snapshot
Lost & Found
Shredder
Undelete
SEGURIDAD COMERCIO ELECTRONICO
Commerce Protector
CryptoSwift
eTrust
NetSecure
RSA Keon
SAFEsuite Decisions
Safety Net
SUITES DE SEGURIDAD INFORMATICA
eSafe Desktop
F-Secure Workstation Suite
Mcafee Office 2000 Pro

NetMax Professional Suite

Norton Internet Security 2000
Observer Suite
Ontrack SystemSuite 2000
Secur-All

3.1.6 ROLES Y RESPONSABILIDADES HACIA LA SEGURIDAD INFORMATICA

Apuntes de la Profra. Nacira Mendoza Pinto

CARGO
Direccin / Alta Gerencia

FUNCIN / OBLIGACIN
-Toma
decisiones
de
polticas de seguridad
-Garantiza
planes
de
contingencia
Gerencia
Aplicar los planes de
seguridad
DBA
Administra el nivel lgico
(datos)
Operacin
Administra y organiza los
recursos fsicos (soporte)
Analista y programadores Crea,
desarrolla
e
implanta sistemas
Operadores
Explota el sistema de
informacin
Usuario Final
-Capturar
-Enviar informacin que
genera el sistema

AREAS RESTRINGIDAS
Ninguna

DBA
Ninguna
DBA
DBA/ Operacin
DBA
/
Operacin
/
Desarrollo
DBA/Operacin/Desarrollo/
Operadores

3.1.7 CONCIENTIZACIN DE LAS EMPRESAS

Son los directivos, junto con los expertos en tecnologas de la informacin,
quienes deben definir los requisitos de seguridad, identificando y priorizando la
importancia de los distintos elementos de la actividad realizada, con lo que los
procesos ms importantes recibirn ms proteccin. La seguridad debe
considerarse como parte de la operativa habitual, no como un extra aadido.
3.2. EXPLICACIN CASO REAL DE UNA ORGANIZACIN
Ejemplo 4: amenaza no intencionada (desastre natural)
La organizacin XYZ no tiene sistemas de deteccin y proteccin contra incendios en la sala de servidores.
Un administrador de los sistemas de la organizacin deja un par de manuales encima del aparato de aire
acondicionado. Durante la noche el acondicionador de aire se caliente y comienza un incendio que arrasa la
sala de servidores y un par de despachos.

3.3 FUNCIN DE SEGURIDAD INFORMTICA

Apuntes de la Profra. Nacira Mendoza Pinto
Su funcin es proteger y administrar todos los recursos de cmputo que accesan
los usuarios.
3.3.1 OBJETIVOS
Apuntes de la Profra. Nacira Mendoza Pinto

Proteger el patrimonio informtico

Establecer los controles adecuados

Vigila
o Disponibilidad del rea
o Integridad
o Privacidad

Administra
o Auditora
o Autenticidad y autorizacin

Previene desastres, ya que elabora planes de contingencia.

3.3.2 ESTRUCTURA ORGANICA

Apuntes de la Profra. Nacira Mendoza Pinto

Direccin de Seguridad Informtica

Equipo de Evaluacin
de Daos

Equipo de Contingencia
Plan de Recuperacin

Relaciones Pblicas

Para conformar un rea de seguridad informtica se necesita:

-

Plan estratgico de seguridad (normas y polticas de la empresa)

Limitaciones de seguridad (vulnerabilidad)
Equilibrio entre controles y riesgos
Evaluacin permanente de riesgos
Compromiso con polticas de seguridad
Divisin de responsabilidades
Sistema de control interno
Asignacin de responsabilidades de seguridad
Sustitucin del personal clave

3.3.3 FUNCIONES Y RESPONSABILIDADES

La seguridad en informtica tiene como funcin el establecer y vigilar que se
cumplan los controles que coadyuvan al procesamiento de informacin completo,
exacto y oportuno, evitando riesgos de prdida y fugas de informacin en el
mbito informtico
En el campo de seguridad se presentan nuevos retos a las empresas mexicanas y
de manera especial a las que residen en la Ciudad de Mxico. Su problemtica ha
ido ampliando en los ltimos aos con los problemas de contaminacin en general
y de los desastres.
En la actualidad no es suficiente que la empresa se restrinja a los campos de
higiene y seguridad de trabajo o adquiera una pliza de seguros como ha sido
costumbre. En lugar de soluciones parciales y aisladas, ahora se tiene que buscar
la solucin integral y ptima para lograr los siguientes objetivos principales:
Mejorar la seguridad y salvaguardar al personal y adems recursos de la
empresa.
Prevenir los desastres, a travs de la reduccin de los riegos
Asegurar los preparativos para atender las emergencias
El procesamiento de datos es una funcin de apoyo al negocio. Por lo tanto
cualquier tipo de amenaza a la seguridad de la empresa o cualquier tipo de
organizacin lo es tambin para la seguridad de las instalaciones de cmputo.
Son necesarias seguridades para proteger el equipo contra sabotaje, incendio, e
inundacin. El mejor medio para evitar dao deliberado es limitar el acceso a la
instalacin al personal autorizado. Los extraos deben quedar lejos de las
instalaciones y el personal deber ser investigado cuidadosamente antes de
contratrsele. La gerencia deber estar siempre alerta ante la posibilidad de dao
por un empleado descontento. Frecuentemente la localizacin de la instalacin de
computacin se conserva realmente en secreto.
[ASI]
3.3.4 INTERRELACIN CON LA AUDITORIA INFORMATICA
La Auditoria de Sistemas es el conjunto de tcnicas que permiten detectar
deficiencias en las organizaciones de informtica y en los sistemas que se
desarrollan u operan en ellas, incluyendo los servicios externos de
computacin, que permitan efectuar acciones preventivas y correctivas para
eliminar las fallas y carencias que se detecten.

Se verifica la existencia y aplicacin de todas las normas y procedimientos

requeridos para minimizar las posibles causas de riesgos tanto en las
instalaciones y equipos, como en los programas computacionales y los datos,
en todo el mbito del Sistema: usuarios, instalaciones, equipos.
Las Instituciones efectan Auditorias de Sistemas, con la finalidad de
asegurar la eficiencia de las organizaciones de informtica, as como la
confiabilidad y seguridad de sus sistemas.
[ASI]