Академический Документы
Профессиональный Документы
Культура Документы
NÚCLEO ZULIA
Realizado por:
Sección: SIM-8B
(a) Explicación detallada de qué es y el alcance organizacional de cada una de las dos
áreas.
Auditoria Informática
Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con
la psicología del auditado, ya que es un informático y tiene la necesidad de realizar sus tareas
con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones,
fundada. El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los
Sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar su tarea.
Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de
cuestionario. Dichos cuestionarios, llamados Check List, son guardados celosamente por las
empresas auditoras, ya que son activos importantes de su actividad. Las Check List tienen que
ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y mal recitadas se
pueden llegar a obtener resultados distintos a los esperados por la empresa auditora. La Check
List puede llegar a explicar cómo ocurren los hechos pero no por qué ocurren. El cuestionario
debe estar subordinado a la regla, a la norma, al método. Sólo una metodología precisa puede
desentrañar las causas por las cuales se realizan actividades teóricamente inadecuadas o se
omiten otras correctas.
El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones
incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.
• Capital de trabajo
• Inversiones
• Financiación a largo plazo
• Planificación Financiera
• Área internacional
• Productividad
• Clima laboral
• Políticas de promoción e incentivos
• Políticas de selección y formación
• Diseño de tareas y puestos de trabajo
Seguridad Informática
• Políticas de Seguridad
• Seguridad Física
• Autentificación
• Integridad
• Confidencialidad
• Control de Acceso
• Auditoría
A todo esto podríamos agregar un mayor control en las medidas de seguridad que se
pueden adoptar para el correo electrónico corporativo, ya sea contra los virus entrantes como
contra la continua avalancha de correo basura o spam. Para que un sistema se pueda definir
como seguro debe cumplir tres características: Integridad, Confidencialidad y Disponibilidad.
La Seguridad puede estudiarse dependiendo de las fuentes de las amenazas a los sistemas:
la Seguridad Física y la Seguridad Lógica. La Seguridad Física trata de la protección de los
sistemas ante amenazas físicas. Consiste en la aplicación de barreras físicas y procedimientos de
control, como medidas de prevención y contramedidas, ante amenazas a los recursos e
información confidenciales. Forman parte de este tipo de seguridad: Desastres naturales,
Sabotajes internos o externos, etc. Por otro lado, la Seguridad Lógica protege la información
dentro de su propio medio mediante el uso de herramientas de seguridad. Por lo tanto, la
Seguridad Informática se puede definir como conjunto de operaciones y técnicas orientadas a la
protección de la información contra la destrucción, la modificación, la divulgación indebida o el
retraso en su obtención. En resumen, la seguridad física se refiere a la protección del Hardware
y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan.
Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. La seguridad
lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y
programas, así como la del ordenado y autorizado acceso de los usuarios a la información.
Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus
facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las
Comunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado,
aunque formen parte del entorno general de Sistemas.
Sistemas Operativos:
Software Básico:
Es fundamental para el auditor conocer los productos de software básico que han sido
facturados aparte de la propia computadora. Esto, por razones económicas y por razones de
comprobación de que la computadora podría funcionar sin el producto adquirido por el cliente.
En cuanto al Software desarrollado por el personal informático de la empresa, el auditor debe
verificar que éste no agreda ni condiciona al Sistema. Igualmente, debe considerar el esfuerzo
realizado en términos de costes, por si hubiera alternativas más económicas.
Software de Teleproceso (Tiempo Real):
Tunning:
• Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema
• De modo sistemático y periódico, por ejemplo cada 6 meses. En este caso sus acciones
son repetitivas y están planificados y organizados de antemano.
El auditor deberá conocer el número de Tunning realizados en el último año, así como
sus resultados. Deberá analizar los modelos de carga utilizados y los niveles e índices de
confianza de las observaciones.
Optimización:
Por ejemplo: cuando se instala una Aplicación, normalmente está vacía, no tiene nada
cargado adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicación se va
poniendo cada vez más lenta; porque todas las referencias a tablas es cada vez más grande, la
información que está moviendo es cada vez mayor, entonces la Aplicación se tiende a poner
lenta. Lo que se tiene que hacer es un análisis de performance, para luego optimizarla, mejorar
el rendimiento de dicha Aplicación.
Administración de Base de Datos:
Investigación y Desarrollo:
Como empresas que utilizan y necesitan de informáticas desarrolladas, saben que sus
propios efectivos están desarrollando Aplicaciones y utilidades que, concebidas inicialmente
para su uso interno, pueden ser susceptibles de adquisición por otras empresas, haciendo
competencia a las Compañías del ramo. La auditoría informática deberá cuidar de que la
actividad de Investigación y Desarrollo no interfiera ni dificulte las tareas fundamentales
internas.
• Nivel D
Este nivel contiene sólo una división y está reservada para sistemas que han sido
evaluados y no cumplen con ninguna especificación de seguridad. Son sistemas no confiables,
no hay protección para el hardware, el sistema operativo es inestable y no hay autentificación
con respecto a los usuarios y sus derechos en el acceso a la información. Los sistemas
operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh.
Muchas de las tareas cotidianas de administración del sistema sólo pueden ser
realizadas por este "super usuario" quien tiene gran responsabilidad en la seguridad del mismo.
Con la actual descentralización de los sistemas de cómputos, no es raro que en una organización
encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma
de distinguir entre los cambios que hizo cada usuario.
A continuación se enumeran los requerimientos mínimos que debe cumplir la clase C1:
Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con
características adicionales que crean un ambiente de acceso controlado. Se debe llevar una
auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir aún
más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir
o denegar datos a usuarios en concreto, con base no sólo en los permisos, sino también en los
niveles de autorización.
Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de
todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el
administrador del sistema y sus usuarios. La auditoría requiere de autenticación adicional para
estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja
reside en los recursos adicionales requeridos por el procesador y el subsistema de discos.
Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad
multinivel, como la secreta y ultrasecreta. Se establece que el dueño del archivo no puede
modificar los permisos de un objeto que está bajo control de acceso obligatorio. A cada objeto
del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico
(alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas,
etc.). Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y
viceversa. Es decir que cada usuario tiene sus objetos asociados. También se establecen
controles para limitar la propagación de derecho de accesos a los distintos objetos.
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto
inferior. La Protección Estructurada es la primera que empieza a referirse al problema de un
objeto a un nivel más elevado de seguridad en comunicación con otro objeto a un nivel inferior.
Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por
distintos usuarios. El sistema es capaz de alertar a los usuarios si sus condiciones de
accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los
canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.
• Nivel B3: Dominios de Seguridad
Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las
permite o las deniega según las políticas de acceso que se hayan definido. Todas las estructuras
de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y testeos ante
posibles violaciones. Este nivel requiere que la terminal del usuario se conecte al sistema por
medio de una conexión segura. Además, cada usuario tiene asignado los lugares y objetos a los
que puede acceder.
• Origen de la auditoria
• Resultado de la revisión estratégica
• Objetivos de la auditoria
• Alcance de la auditoria, metodología
• Criterios de auditoria a utilizarse
• Recurso de personal
• Áreas a ser examinadas
• Información administrativa
Ejecución
Para que un Plan de Seguridad entre en vigor y los elementos empiecen a funcionar, se
observen y acepten las nuevas políticas del nuevo Sistema de Seguridad, se deben seguir los
siguientes pasos:
Seguridad Lógica
Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad
Física, es importante recalcar que la mayoría de los daños que puede sufrir un centro de
cómputos no será sobre los medios físicos sino contra información por él almacenada y
procesada.
Así, la Seguridad Física, sólo es una parte del amplio espectro que se debe cubrir para
no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el activo más
importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la
seguridad física, que la aseguren. Estas técnicas las brinda la Seguridad Lógica.
Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está
permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica.
• Identificación y Autentificación
Al igual que se consideró para la seguridad física, y basada en ella, existen cuatro tipos
de técnicas que permiten realizar la autenticación de la identidad del usuario, las cuales pueden
ser utilizadas individualmente o combinadas:
• Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso o
password, una clave criptográfica, un número de identificación personal o PIN, etc.
• Algo que la persona posee: por ejemplo una tarjeta magnética.
• Algo que el individuo es y que lo identifica unívocamente: por ejemplo las huellas
digitales o la voz.
• Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.
• Roles
El acceso a la información también puede controlarse a través de la función o rol del
usuario que requiere dicho acceso. Algunos ejemplos de roles serían los siguientes:
programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc.
En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios.
• Transacciones
También pueden implementarse controles a través de las transacciones, por ejemplo
solicitando una clave al requerir el procesamiento de una transacción determinada.
• Limitaciones a los Servicios
• Modalidad de Acceso
• Ubicación y Horario
El acceso a determinados recursos del sistema puede estar basado en la ubicación física o
lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite
limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la
semana. De esta forma se mantiene un control más restringido de los usuarios y zonas de
ingreso.
Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de
alguno de los controles anteriormente mencionados.
Generalmente se utilizan para realizar la autenticación del usuario y sirven para proteger
los datos y aplicaciones. Los controles implementados a través de la utilización de palabras
clave resultan de muy bajo costo. Sin embargo cuando el usuario se ve en la necesidad de
utilizar varias palabras clave para acceder a diversos sistemas encuentra dificultoso recordarlas
y probablemente las escriba o elija palabras fácilmente deducibles, con lo que se ve disminuida
la utilidad de esta técnica. Se podrá, por años, seguir creando sistemas altamente seguros,
pero en última instancia cada uno de ellos se romperá por este eslabón: la elección de
passwords débiles.
Sincronización de passwords:
• Caducidad y control: este mecanismo controla cuándo pueden y/o deben cambiar sus
passwords los usuarios. Se define el período mínimo que debe pasar para que los
usuarios puedan cambiar sus passwords, y un período máximo que puede transcurrir
para que éstas caduquen.
Encriptación
Se refiere a un registro donde se encuentran los nombres de los usuarios que obtuvieron
el permiso de acceso a un determinado recurso del sistema, así como la modalidad de acceso
permitido. Este tipo de listas varían considerablemente en su capacidad y flexibilidad.
Esto límites, generalmente, son utilizados en conjunto con las listas de control de
accesos y restringen a los usuarios a funciones específicas. Básicamente pueden ser de tres
tipos: menús, vistas sobre la base de datos y límites físicos sobre la interface de usuario. Por
ejemplo los cajeros automáticos donde el usuario sólo puede ejecutar ciertas funciones
presionando teclas específicas.
Etiquetas de Seguridad
Consiste en designaciones otorgadas a los recursos (como por ejemplo un archivo) que
pueden utilizarse para varios propósitos como control de accesos, especificación de medidas de
protección, etc. Estas etiquetas no son modificables.
Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada y otra
externa (por ejemplo Internet). Los firewalls permiten que los usuarios internos se conecten a la
red exterior al mismo tiempo que previenen la intromisión de atacantes o virus a los sistemas de
la organización. Este tema será abordado con posterioridad.
Acceso de Personal Contratado o Consultores
Debido a que este tipo de personal en general presta servicios temporarios, debe ponerse
especial consideración en la política y administración de sus perfiles de acceso.
Accesos Públicos
Para los sistemas de información consultados por el público en general, o los utilizados
para distribuir o recibir información computarizada (mediante, por ejemplo, la distribución y
recepción de formularios en soporte magnético, o la consulta y recepción de información a
través del correo electrónico) deben tenerse en cuenta medidas especiales de seguridad, ya que
se incrementa el riesgo y se dificulta su administración. Debe considerarse para estos casos de
sistemas públicos, que un ataque externo o interno puede acarrear un impacto negativo en la
imagen de la organización.
• Administración
Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es
necesario realizar una eficiente administración de estas medidas de seguridad lógica, lo que
involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos de los
usuarios de los sistemas. La política de seguridad que se desarrolle respecto a la seguridad
lógica debe guiar a las decisiones referidas a la determinación de los controles de accesos y
especificando las consideraciones necesarias para el establecimiento de perfiles de usuarios.
La definición de los permisos de acceso requiere determinar cuál será el nivel de seguridad
necesario sobre los datos, por lo que es imprescindible clasificar la información, determinando
el riesgo que produciría una eventual exposición de la misma a usuarios no autorizados. Así los
diversos niveles de la información requerirán diferentes medidas y niveles de seguridad.
Pero además de este compromiso debe existir una concientización por parte de la
administración hacia el personal en donde se remarque la importancia de la información y las
consecuencias posibles de su pérdida o apropiación de la misma por agentes extraños a la
organización.
Evaluación de riesgos
Las Normas COBIT (Control Objectives for Information and related Technology) es el
resultado de uno de los mayores Proyectos de investigación completado y publicado por la
Organización Mundial de Auditores de Sistemas de Información (ISACF).Este conjunto de
Normas constituye un estándar internacional para la aplicación de un correcto Control de los
Sistemas de Información. Es aplicable a un amplio rango de Sistemas de información que van
desde el nivel de Computadoras Personales, Computadores de Rango Medio, Grandes
Computadores (Mainframes) e Instalaciones Cliente-Servidor.
En general, se puede sintetizar los objetivos de las NORMAS COBIT en los siguientes
puntos:
• Es una guía muy importante para la gerencia en la toma de decisiones sobre riesgos y
controles
• Ayuda al usuario de Tecnología a obtener seguridad y control sobre los productos y
servicios que adquiere.
• Provee a la Auditoria de Sistemas Informáticos, una herramienta fundamental para
evaluar Controles Internos, Controles Gerenciales, y los mínimos requerimientos de
Control compatibles con el necesario balance Costo-Beneficio de la Organización.
• La aplicación de estos estándares a cualquier Instalación o Emprendimiento Informático
garantiza una correcta y segura utilización de la Información.
Podemos decir que los controles de acceso a la información constituyen uno de los
parámetros más importantes a la hora de Administrar Seguridad .Con ellos determinamos quién
puede acceder a qué datos, indicando a cada persona un tipo de acceso (perfil) específico.
Este es uno de los puntos fundamentales a tener en cuenta para garantizar la Seguridad y
al mismo tiempo una correcta accesibilidad a la información. En efecto, en todo Proyecto
Informático que pretenda brindar información a diferentes niveles, garantizando correcta toma
de decisiones y accesibilidad a un amplio espectro de usuarios, se deberá prestar mucha
atención a este punto. Para ello es importante que se plantee en la organización, la necesidad de
establecer Estándares para la Administración de Seguridad de accesos. Con ello se garantizará
un eficiente, seguro y al mismo tiempo correcto uso de la Información.
Asimismo deberá estudiarse con sumo cuidado las facilidades que el Sistema de Base de
Datos ofrezca para su auditabilidad, qué tipo de información genera, con qué facilidad se
pueden definir opciones, etc.
Un aspecto que merecerá también nuestra atención será el control de acceso que posea,
la posibilidad de definición de perfiles y grupos de perfiles. Si el procesamiento es distribuido
será objeto de nuestra atención el procesamiento y replicación segura, como así también todo
mecanismo que garantice la integridad de los Datos en forma automática.
Existen para estos casos un conjunto de medidas a considerar que varían en función de
los inconvenientes previstos y analizados. Es muy necesario en estos casos contar con productos
(Software específico) que efectúen el análisis de las Redes y sus recursos, para poder detectar
anomalías en el funcionamiento de las mismas. Se considera necesaria la inclusión de control de
accesos a Directorios, Archivos, Registros, control contra-robo de datos, e introducción de
Software foráneo con el riesgo de incorporación de virus a la Red que pueden traer
complicaciones graves.
Seguridad en Internet
Aún no se han desarrollado los elementos de Seguridad suficientes para garantizar una
absoluta privacidad e integridad de los datos que viajan por la Red. No obstante, los expertos en
Seguridad Informática han desarrollado Sistemas que, bajo ciertas condiciones y con
determinados elementos, nos permiten la utilización de la Red con un grado de Seguridad
aceptable. En estas primeras etapas del desarrollo de Seguridad en Internet, se ha comenzado a
trabajar con cuatro componentes fundamentales, que son:
Autenticación e identificación
Autorización
Integridad de datos
Técnica que garantiza que los datos que viajan por la Red lleguen intactos a su destino.
Privacidad de datos
Técnica que determina quién puede leer la Información una vez que salió del sistema de
Almacenamiento. El grado de avance en estas Tecnologías utilizando Sistemas de FIREWALLS
físicos y lógicos como así también, ENCRIPCION de datos nos permite, con un diseño
apropiado, utilizar esta tecnología como la interface natural de comunicación en todos nuestros
Sistemas de Información, permitiendo que de cualquier parte del mundo se pueda acceder a
ellos con la seguridad adecuada.
Este último punto, de gran importancia, en todo Sistema que lo requiera, es de singular
importancia para la determinación de la Seguridad, pues requiere medidas específicas, ya que,
por razones lógicas, se incrementa notablemente el riesgo y se dificulta la administración.
Para que esto no ocurra, desde las etapas preliminares del diseño, debemos cerciorarnos
que se tomen las medidas necesarias para implementar Seguridad en todos y cada uno de los
componentes del Sistema, (Bases de datos, Redes de Procesamiento, Internet, Personal,
Equipamiento, etc.). El acceso público a la información clasificada como tal, es algo que, en
función de los recursos tecnológicos y de comunicaciones de los que disponemos hoy no tendría
que ser objeto de ningún tipo de limitaciones. Sin embargo, si todo el entorno informático no
está preparado para ese cometido desde el punto de vista de Auditoría y Seguridad, es muy
difícil llevar adelante este objetivo
CONCLUSIONES
Nunca se puede dogmatizar que la seguridad perfecta existe. Eso no es cierto, lo afirme
quien lo afirme. Pero, al menos, si que se pueden adoptar medidas preventivas y políticas de
seguridad que impidan o minimicen un caos.
En todo emprendimiento informático debe estar presente, desde las ideas preliminares
del diseño, el concepto de Seguridad. Las empresas (todas en común), comenten un error y es
que se preocupan por la seguridad externa y olvidan la interna, y es ahí que se fuga mas del 80
% de la información de la misma.
Aumento de la productividad
Compromiso con la misión de la compañía
Ayuda a formar equipos competentes
Mejora de los climas laborales para los Recursos Humanos