REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO POPULAR PARA LA DEFENSA

UNIVERSIDAD NACIONAL EXPERIMENTAL DE LA FUERZA

ARMADA BOLIVARIANA DE VENEZUELA

NÚCLEO ZULIA

Realizado por:

Montilla Darling C.I: 16.266.575

Gisel Zambrano C.I: 18.516.816

Cristian Izarra C.I:

Sección: SIM-8B

Prof: Alfredo Carneiro.

Maracaibo, Enero de 2011

 Área funcional de Auditoria y Seguridad de Informática

(a) Explicación detallada de qué es y el alcance organizacional de cada una de las dos
áreas.

Auditoria Informática

Se entiende por Auditoria Informática a una serie de evaluaciones periódicas o

esporádicas de un sistema informático cuya finalidad es analizar y evaluar la planificación, el
control, la eficacia, la seguridad, la economía y la adecuación de la infraestructura informática
de la empresa.

La auditoría nace como un órgano de control de algunas instituciones estatales y

privadas. Su función inicial es estrictamente económico-financiero, y los casos inmediatos se
encuentran en las estimaciones judiciales y las contrataciones de contables expertos por parte de
Bancos Oficiales.

La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo,

ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones
pertinentes. La auditoría contiene elementos de análisis, de verificación y de exposición de
debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción para
eliminar las disfunciones y debilidades antes dichas; estas sugerencias plasmadas en el Informe
final reciben el nombre de Recomendaciones.

Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con
la psicología del auditado, ya que es un informático y tiene la necesidad de realizar sus tareas
con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones,
fundada. El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los
Sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar su tarea.

Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de
cuestionario. Dichos cuestionarios, llamados Check List, son guardados celosamente por las
empresas auditoras, ya que son activos importantes de su actividad. Las Check List tienen que
ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y mal recitadas se
pueden llegar a obtener resultados distintos a los esperados por la empresa auditora. La Check
List puede llegar a explicar cómo ocurren los hechos pero no por qué ocurren. El cuestionario
debe estar subordinado a la regla, a la norma, al método. Sólo una metodología precisa puede
desentrañar las causas por las cuales se realizan actividades teóricamente inadecuadas o se
omiten otras correctas.
 El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones
incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.

Tipos de Auditoria Informática especializada:

 Auditoria Informática de Producción o Explotación

 Auditoria Informática de Desarrollo de Proyectos
 Auditoria Informática de Sistemas
 Auditoria Informática de Comunicación y Redes
 Auditoria de Bases de Datos
 Auditoria de Seguridad Informática
 Auditoria Informática de aplicaciones en Internet

Auditoria de Seguridad Informática

Para realizar una evaluación de la Seguridad, es importante conocer cómo desarrollar y

ejecutar la implantación de un Sistema de Seguridad. Desarrollar un Sistema de Seguridad
implica: planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener
y garantizar la integridad física de los recursos implicados en la función informática, así como
el resguardo de los activos de la empresa.

Alcance de la Auditoria Informática

Asesorar a la gerencia con el propósito de 1. Delegar efectivamente las funciones. 2.

Mantener adecuado control sobre la organización. 3. Reducir a niveles mínimos el riesgo
inherente. 4. Revisar y evaluar cualquier fase de la actividad de la organización, contable,
financiera, administrativa, operativa. Además se pueden señalar según la gestión de la auditoria
los diferentes alcances:

Auditoría de la gestión del sistema global de la empresa:

• Evaluación de la posición competitiva

• Evaluación de la estructura organizativa
• Balance Social
• Evaluación del proceso de la dirección estratégica
• Evaluación de los cuadros directivos
Auditoría de la gestión del sistema comercial:

• Análisis de la estrategia comercial

• Oferta de bienes y servicios
• Sistema de distribución física
• Política de precios
• Función publicitaria
• Función de ventas
• Promoción de ventas

Auditoría de la gestión del sistema financiero:

• Capital de trabajo
• Inversiones
• Financiación a largo plazo
• Planificación Financiera
• Área internacional

Auditoría de la gestión del sistema de producción:

• Diseño del sistema

• Programación de la producción
• Control de calidad
• Almacén e inventarios
• Productividad técnica y económica
• Diseño y desarrollo de productos

Auditoría de la gestión del sistema de recursos humanos:

• Productividad
• Clima laboral
• Políticas de promoción e incentivos
• Políticas de selección y formación
• Diseño de tareas y puestos de trabajo

Auditoría de la gestión de los sistemas administrativos:

• Análisis de proyectos y programas.

• Auditoría de la función de procesamiento de datos.
 • Auditoría de procedimientos administrativos y formas de control interno en las áreas
funcionales.

Seguridad Informática

La Seguridad Informática es el conjunto de reglas, planes y acciones que permiten

asegurar la información contenida en un sistema de la información.

Áreas que cubre la seguridad informática

• Políticas de Seguridad

• Seguridad Física

• Autentificación

• Integridad

• Confidencialidad

• Control de Acceso

• Auditoría

Existen algunas metodologías de trabajo para realizar una eficiente seguridad

informática. Una de las más usadas es la OSSTMM (Open Source Security Testing
Methodology Manual) de Pete Herzog. Lo que propone es medir la seguridad de los siguientes
factores: revisión de privacidad y recolección de documentos, seguridad de los procesos físicos
(personas confiables), verificación de posibles vulnerabilidades, identificación de sistemas y
puertos, implantación de sistemas de seguridad de intrusos y cortafuegos, elaboración de
políticas de seguridad, testeo de módems, seguridad inalámbrica, entre otros. El OSSTMM
entrega plantillas para cumplimentar con los datos declarados por el responsable de sistemas, y
así el consultor, en función de los resultados, conoce qué es lo que debe hacer.

A todo esto podríamos agregar un mayor control en las medidas de seguridad que se
pueden adoptar para el correo electrónico corporativo, ya sea contra los virus entrantes como
contra la continua avalancha de correo basura o spam. Para que un sistema se pueda definir
como seguro debe cumplir tres características: Integridad, Confidencialidad y Disponibilidad.

La Seguridad puede estudiarse dependiendo de las fuentes de las amenazas a los sistemas:
la Seguridad Física y la Seguridad Lógica. La Seguridad Física trata de la protección de los
sistemas ante amenazas físicas. Consiste en la aplicación de barreras físicas y procedimientos de
control, como medidas de prevención y contramedidas, ante amenazas a los recursos e
información confidenciales. Forman parte de este tipo de seguridad: Desastres naturales,
Sabotajes internos o externos, etc. Por otro lado, la Seguridad Lógica protege la información
dentro de su propio medio mediante el uso de herramientas de seguridad. Por lo tanto, la
Seguridad Informática se puede definir como conjunto de operaciones y técnicas orientadas a la
protección de la información contra la destrucción, la modificación, la divulgación indebida o el
retraso en su obtención. En resumen, la seguridad física se refiere a la protección del Hardware
y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan.
Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. La seguridad
lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y
programas, así como la del ordenado y autorizado acceso de los usuarios a la información.

(b) Funciones generales de cada una de ellas

Funciones generales de la Auditoria Informática

Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus
facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las
Comunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado,
aunque formen parte del entorno general de Sistemas.

Sistemas Operativos:

Engloba los Subsistemas de Teleproceso, Entrada/Salida, entre otros. Debe verificarse

en primer lugar que los Sistemas están actualizados con las últimas versiones del fabricante,
indagando las causas de las omisiones si las hubiera. El análisis de las versiones de los Sistemas
Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software
Básico adquiridos por la instalación y determinadas versiones de aquellas. Deben revisarse los
parámetros variables de las Librerías más importantes de los Sistemas, por si difieren de los
valores habituales aconsejados por el constructor.

Software Básico:

Es fundamental para el auditor conocer los productos de software básico que han sido
facturados aparte de la propia computadora. Esto, por razones económicas y por razones de
comprobación de que la computadora podría funcionar sin el producto adquirido por el cliente.
En cuanto al Software desarrollado por el personal informático de la empresa, el auditor debe
verificar que éste no agreda ni condiciona al Sistema. Igualmente, debe considerar el esfuerzo
realizado en términos de costes, por si hubiera alternativas más económicas.
Software de Teleproceso (Tiempo Real):

No se incluye en Software Básico por su especialidad e importancia. Las

consideraciones anteriores son válidas para éste también.

Tunning:

Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del

comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning
deben diferenciarse de los controles habituales que realiza el personal de Técnica de Sistemas.
El tunning posee una naturaleza más revisora, estableciéndose previamente planes y programas
de actuación según los síntomas observados. Se pueden realizar:

• Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema
• De modo sistemático y periódico, por ejemplo cada 6 meses. En este caso sus acciones
son repetitivas y están planificados y organizados de antemano.

El auditor deberá conocer el número de Tunning realizados en el último año, así como
sus resultados. Deberá analizar los modelos de carga utilizados y los niveles e índices de
confianza de las observaciones.

Optimización de los Sistemas y Subsistemas:

Técnica de Sistemas debe realizar acciones permanentes de optimización como

consecuencia de la realización de tunnings preprogramados o específicos. El auditor verificará
que las acciones de optimización* fueron efectivas y no comprometieron la Operatividad de los
Sistemas ni el plan crítico de producción diaria de Explotación.

Optimización:

Por ejemplo: cuando se instala una Aplicación, normalmente está vacía, no tiene nada
cargado adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicación se va
poniendo cada vez más lenta; porque todas las referencias a tablas es cada vez más grande, la
información que está moviendo es cada vez mayor, entonces la Aplicación se tiende a poner
lenta. Lo que se tiene que hacer es un análisis de performance, para luego optimizarla, mejorar
el rendimiento de dicha Aplicación.
Administración de Base de Datos:

El diseño de las Bases de Datos, sean relaciones o jerárquicas, se ha convertido en una

actividad muy compleja y sofisticada, por lo general desarrollada en el ámbito de Técnica de
Sistemas, y de acuerdo con las áreas de Desarrollo y usuarios de la empresa. Al conocer el
diseño y arquitectura de éstas por parte de Sistemas, se les encomienda también su
administración. Los auditores de Sistemas han observado algunas disfunciones derivadas de la
relativamente escasa experiencia que Técnica de Sistemas tiene sobre la problemática general
de los usuarios de Bases de Datos.

La administración tendría que estar a cargo de Explotación. El auditor de Base de Datos

debería asegurarse que Explotación conoce suficientemente las que son accedidas por los
Procedimientos que ella ejecuta. Analizará los Sistemas de salvaguarda existentes, que
competen igualmente a Explotación. Revisará finalmente la integridad y consistencia de los
datos, así como la ausencia de redundancias entre ellos.

Investigación y Desarrollo:

Como empresas que utilizan y necesitan de informáticas desarrolladas, saben que sus
propios efectivos están desarrollando Aplicaciones y utilidades que, concebidas inicialmente
para su uso interno, pueden ser susceptibles de adquisición por otras empresas, haciendo
competencia a las Compañías del ramo. La auditoría informática deberá cuidar de que la
actividad de Investigación y Desarrollo no interfiera ni dificulte las tareas fundamentales
internas.

La propia existencia de aplicativos para la obtención de estadísticas desarrollados por

los técnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al auditor experto
una visión bastante exacta de la eficiencia y estado de desarrollo de los Sistemas.

Auditoria Informática de Comunicaciones y Redes:

Para el informático y para el auditor informático, el entramado conceptual que

constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no
son sino el soporte físico-lógico del Tiempo Real. El auditor tropieza con la dificultad técnica
del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está condicionado a la
participación del monopolio telefónico que presta el soporte. Como en otros casos, la auditoría
de este sector requiere un equipo de especialistas, expertos simultáneamente en Comunicaciones
y en Redes Locales (no hay que olvidarse que en entornos geográficos reducidos, algunas
empresas optan por el uso interno de Redes Locales, diseñadas y cableadas con recursos
propios).

El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las

líneas contratadas con información abundante sobre tiempos de desuso. Deberá proveerse de la
topología de la Red de Comunicaciones, actualizada, ya que la des actualización de esta
documentación significaría una grave debilidad. La inexistencia de datos sobre la cuantas líneas
existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad
Informática. Sin embargo, las debilidades más frecuentes o importantes se encuentran en las
disfunciones organizativas. La contratación e instalación de líneas va asociada a la instalación
de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales,
Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben
estar muy coordinadas y a ser posible, dependientes de una sola organización.

Funciones generales de la Seguridad Informática

Administrar la seguridad basada en las políticas establecidas, atendiendo los niveles de

permisibilidad de los sistemas, las medidas de protección lógica (software) y los procedimientos
que deben seguir los usuarios.

 Establecer controles y procedimientos de seguridad para salvaguardar los recursos

informáticos de la Institución.
 Velar por el cumplimiento de las normas y políticas de seguridad informática de la
Institución.
 Velar por el cumplimiento de la seguridad a nivel de operación, desarrollo e
implementación de los sistemas.
 Monitorear las violaciones a los diferentes sistemas con que cuenta la institución y
ejecutar acciones correctivas para garantizar que se brinde la seguridad adecuada.
 Administrar y mantener los servicios de firmas y certificados digitales de la Empresa.
 Establecer los parámetros requeridos para que los sistemas que hagan uso de firmas y
certificados digitales se comuniquen de manera segura.
 Presentar estudios de factibilidad técnica, económica y operativa para asesorar la
dirección en la toma de decisiones.

Las funciones de seguridad informática se derivan a partir de los niveles de seguridad.

El estándar de niveles de seguridad más utilizado internacionalmente es el TCSEC Orange
Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del
Departamento de Defensa de los Estados Unidos.
 Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se
enumeran desde el mínimo grado de seguridad al máximo. Estos niveles han sido la base de
desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC). Cabe
aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2
abarca los subniveles B1, C2, C1 y el D.

• Nivel D

Este nivel contiene sólo una división y está reservada para sistemas que han sido
evaluados y no cumplen con ninguna especificación de seguridad. Son sistemas no confiables,
no hay protección para el hardware, el sistema operativo es inestable y no hay autentificación
con respecto a los usuarios y sus derechos en el acceso a la información. Los sistemas
operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh.

• Nivel C1: Protección Discrecional

Se requiere identificación de usuarios que permite el acceso a distinta información.

Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y
el administrador del sistema, quien tiene control total de acceso.

Muchas de las tareas cotidianas de administración del sistema sólo pueden ser
realizadas por este "super usuario" quien tiene gran responsabilidad en la seguridad del mismo.
Con la actual descentralización de los sistemas de cómputos, no es raro que en una organización
encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma
de distinguir entre los cambios que hizo cada usuario.

A continuación se enumeran los requerimientos mínimos que debe cumplir la clase C1:

• Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán

definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos,
directorios, disco) sobre los cuales podrán actuar usuarios o grupos de ellos.
• Identificación y Autentificación: se requiere que un usuario se identifique antes
de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser
accedido por un usuario sin autorización o identificación.

• Nivel C2: Protección de Acceso Controlado

Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con
características adicionales que crean un ambiente de acceso controlado. Se debe llevar una
auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir aún
más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir
o denegar datos a usuarios en concreto, con base no sólo en los permisos, sino también en los
niveles de autorización.

Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de
todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el
administrador del sistema y sus usuarios. La auditoría requiere de autenticación adicional para
estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja
reside en los recursos adicionales requeridos por el procesador y el subsistema de discos.

Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de

administración del sistema sin necesidad de ser administradores. Permite llevar mejor cuenta de
las tareas relacionadas con la administración del sistema, ya que es cada usuario quien ejecuta
el trabajo y no el administrador del sistema.

• Nivel B1: Seguridad Etiquetada

Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad
multinivel, como la secreta y ultrasecreta. Se establece que el dueño del archivo no puede
modificar los permisos de un objeto que está bajo control de acceso obligatorio. A cada objeto
del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico
(alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas,
etc.). Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y
viceversa. Es decir que cada usuario tiene sus objetos asociados. También se establecen
controles para limitar la propagación de derecho de accesos a los distintos objetos.

• Nivel B2: Protección Estructurada

Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto
inferior. La Protección Estructurada es la primera que empieza a referirse al problema de un
objeto a un nivel más elevado de seguridad en comunicación con otro objeto a un nivel inferior.

Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por
distintos usuarios. El sistema es capaz de alertar a los usuarios si sus condiciones de
accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los
canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.
 • Nivel B3: Dominios de Seguridad

Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de

administración de memoria se usa para proteger el dominio de seguridad de acceso no
autorizado a la modificación de objetos de diferentes dominios de seguridad.

Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las
permite o las deniega según las políticas de acceso que se hayan definido. Todas las estructuras
de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y testeos ante
posibles violaciones. Este nivel requiere que la terminal del usuario se conecte al sistema por
medio de una conexión segura. Además, cada usuario tiene asignado los lugares y objetos a los
que puede acceder.

• Nivel A: Protección Verificada

Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante

métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre
el sistema. Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores
deben incluirse. El diseño requiere ser verificado de forma matemática y también se deben
realizar análisis de canales encubiertos y de distribución confiable. El software y el hardware
son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.

(c) Principios que la gobiernan

(d) Concepto, alcance y especificación de un plan de auditoria

Elaboración del Plan de Auditoria

En la Elaboración del Plan de Auditoria el auditor encargado y supervisor formula el

proyecto del plan de auditoría para luego presentarlo, junto con el reporte de revisión
estratégica. El plan de auditoría es el documento que se elabora al final de la fase de
planeamiento, en cuyo texto se resumen las decisiones más importantes relativas a la estrategia
adoptada para el desarrollo de la auditoria administrativa.

Estructura del Plan de Auditoria

Se elabora al final de la fase de planeamiento, en cuyo texto se resumen las decisiones

más importantes relativas a la estrategia adoptada para el desarrollo de la auditoria. Su propósito
es definir el alcance global de la auditoria administrativa, en términos generales y objetivos
específicos.

Estructura del plan de auditoria

• Origen de la auditoria
• Resultado de la revisión estratégica
• Objetivos de la auditoria
• Alcance de la auditoria, metodología
• Criterios de auditoria a utilizarse
• Recurso de personal
• Áreas a ser examinadas

a. Objetivos y alcance de la auditoria

b. Criterios de auditoria a utilizar
c. Fuentes de obtención de evidencia de auditoria
d. Equipo de trabajo

• Información administrativa

a. Informes a emitir y fechas de entrega

b. Estructura del informe a emitir
c. Presupuesto de tiempo
d. Cronograma de actividades
Plan de la auditoria
Análisis de tiempo, papeles de trabajo y conocimiento de la estructura.
Informe de la auditoria
 Seguimiento del Sistema

Ejecución

La fase de ejecución de la auditoria esta focalizada en la obtención de evidencias,

suficientes, competentes y pertinentes sobre los asuntos mas importantes aprobados en el Plan
de la Auditoria. Los papeles de trabajo son los documentos elaborados u obtenidos por el
auditor durante las fases de planeamiento y ejecución, los cuales sirven como fundamento y
respaldo del informe.

(e) Concepto, alcance y especificación de un plan de seguridad y protección de activos

lógicos de una organización.

Las consideraciones de un Sistema Integral de Seguridad deben contemplar:

 Definir elementos administrativos

 Definir Políticas de Seguridad: A nivel departamental, a nivel institucional
 Organizar y dividir las responsabilidades
 Contemplar la Seguridad Física contra catástrofes (incendios, terremotos, inundaciones,
etc.)
 Definir prácticas de Seguridad para el personal: Plan de emergencia, Plan de
evacuación, Uso de recursos de emergencia (extinguidores, etc.)
 Definir el tipo de Pólizas de Seguros
 Definir elementos técnicos de procedimientos: Técnicas de aseguramiento del sistema
 Codificar la información: Criptografía
 Contraseñas difíciles de averiguar (letras mayúsculas, minúsculas, números y
símbolos ) que deben ser cambiadas periódicamente
  Vigilancia de Red: Tecnologías repelentes o protectoras (Cortafuegos
(firewalls), sistema de detección de intrusos, etc.)
 Anti-spyware, antivirus, llaves para protección de software, etc.
 Mantener los sistemas de información (sistemas operativos y programas) con
las actualizaciones que más impacten en la Seguridad
 Definir las necesidades de Sistemas de Seguridad para hardware y software
 Flujo de energía
 Cableados locales y externos
 Aplicación de los Sistemas de Seguridad, incluyendo datos y archivos
 Planificación de los papeles de los Auditores internos y externos
 Planificación de programas de contingencia o recuperación de desastre y sus respectivas
pruebas (Simulación)
 Planificación de Pruebas al Plan de Contingencia con carácter periódico
 Política de Destrucción de basura, copias, fotocopias, discos duros, etc.

Para dotar de medios necesarios al elaborar su Sistema de Seguridad, se debe considerar

los siguientes puntos:

 Sensibilizar a los ejecutivos de la organización en torno al tema de Seguridad

 Se debe realizar un Diagnóstico de la situación de riesgo y Seguridad de la información
en la organización a nivel software, hardware, recursos humanos y ambientales
 Elaborar un Plan para un Programa de Seguridad

Etapas para implantar un Plan de Seguridad

Para que un Plan de Seguridad entre en vigor y los elementos empiecen a funcionar, se
observen y acepten las nuevas políticas del nuevo Sistema de Seguridad, se deben seguir los
siguientes pasos:

 Introducir el tema de Seguridad en la visión de la empresa

 Definir los procesos de Flujo de Información y sus Riesgos en cuanto a todos los
recursos participantes
 Capacitar a los Gerentes y Directivos, contemplando el enfoque global
 Designar y capacitar a Supervisores de área
 Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente
rápidas
 Mejorar las comunicaciones internas
  Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas
planteando soluciones de alto nivel
 Capacitar a todos los trabajadores en los elementos básicos de Seguridad y Riesgo para
el manejo del software, hardware y con respecto a la Seguridad Física

Seguridad Lógica

Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad
Física, es importante recalcar que la mayoría de los daños que puede sufrir un centro de
cómputos no será sobre los medios físicos sino contra información por él almacenada y
procesada.

Así, la Seguridad Física, sólo es una parte del amplio espectro que se debe cubrir para
no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el activo más
importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la
seguridad física, que la aseguren. Estas técnicas las brinda la Seguridad Lógica.

Es decir que la Seguridad Lógica consiste en la "aplicación de barreras y

procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las
personas autorizadas para hacerlo."

Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está
permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica.

Los objetivos que se plantean serán:

1. Restringir el acceso a los programas y archivos.

2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan
modificar los programas ni los archivos que no correspondan.
3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el
procedimiento correcto.
4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido
enviada y no a otro.
5. Que la información recibida sea la misma que ha sido transmitida.
6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la transmisión de
información.
Controles de Acceso

Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de

aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro
utilitario. Constituyen una importante ayuda para proteger al sistema operativo de la red, al
sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para
mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con
acceso permitido) y para resguardar la información confidencial de accesos no autorizados.

Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad

lógica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar
si corresponde un permiso de acceso (solicitado por un usuario) a un determinado recurso. Al
respecto, el National Institute for Standars and Technology (NIST)(1) ha resumido los
siguientes estándares de seguridad que se refieren a los requisitos mínimos de seguridad en
cualquier sistema:

• Identificación y Autentificación

Es la primera línea de defensa para la mayoría de los sistemas computarizados,

permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la mayor parte de
los controles de acceso y para el seguimiento de las actividades de los usuarios. Se denomina
Identificación al momento en que el usuario se da a conocer en el sistema; y Autenticación a la
verificación que realiza el sistema sobre esta identificación.

Al igual que se consideró para la seguridad física, y basada en ella, existen cuatro tipos
de técnicas que permiten realizar la autenticación de la identidad del usuario, las cuales pueden
ser utilizadas individualmente o combinadas:

• Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso o
password, una clave criptográfica, un número de identificación personal o PIN, etc.
• Algo que la persona posee: por ejemplo una tarjeta magnética.
• Algo que el individuo es y que lo identifica unívocamente: por ejemplo las huellas
digitales o la voz.
• Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.

• Roles
El acceso a la información también puede controlarse a través de la función o rol del
usuario que requiere dicho acceso. Algunos ejemplos de roles serían los siguientes:
 programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc.
En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios.
• Transacciones
También pueden implementarse controles a través de las transacciones, por ejemplo
solicitando una clave al requerir el procesamiento de una transacción determinada.
• Limitaciones a los Servicios

Estos controles se refieren a las restricciones que dependen de parámetros propios de la

utilización de la aplicación o preestablecidos por el administrador del sistema. Un ejemplo
podría ser que en la organización se disponga de licencias para la utilización simultánea de
un determinado producto de software para cinco personas, en donde exista un control a
nivel sistema que no permita la utilización del producto a un sexto usuario.

• Modalidad de Acceso

Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la

información. Esta modalidad puede ser:

• Lectura: el usuario puede únicamente leer o visualizar la información pero no puede

alterarla. Debe considerarse que la información puede ser copiada o impresa.
• Escritura: este tipo de acceso permite agregar datos, modificar o borrar información.
• Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.
• Borrado: permite al usuario eliminar recursos del sistema (como programas, campos de
datos o archivos). El borrado es considerado una forma de modificación.
• Todas las anteriores.

Además existen otras modalidades de acceso especiales, que generalmente se incluyen

en los sistemas de aplicación:

• Creación: permite al usuario crear nuevos archivos, registros o campos.

• Búsqueda: permite listar los archivos de un directorio determinado.

• Ubicación y Horario

El acceso a determinados recursos del sistema puede estar basado en la ubicación física o
lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite
limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la
semana. De esta forma se mantiene un control más restringido de los usuarios y zonas de
ingreso.
 Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de
alguno de los controles anteriormente mencionados.

• Control de Acceso Interno

Palabras Claves (Passwords)

Generalmente se utilizan para realizar la autenticación del usuario y sirven para proteger
los datos y aplicaciones. Los controles implementados a través de la utilización de palabras
clave resultan de muy bajo costo. Sin embargo cuando el usuario se ve en la necesidad de
utilizar varias palabras clave para acceder a diversos sistemas encuentra dificultoso recordarlas
y probablemente las escriba o elija palabras fácilmente deducibles, con lo que se ve disminuida
la utilidad de esta técnica. Se podrá, por años, seguir creando sistemas altamente seguros,
pero en última instancia cada uno de ellos se romperá por este eslabón: la elección de
passwords débiles.

Sincronización de passwords:

Consiste en permitir que un usuario acceda con la misma password a diferentes

sistemas interrelacionados y, su actualización automática en todos ellos en caso de ser
modificada. Podría pensarse que esta es una característica negativa para la seguridad de
un sistema, ya que una vez descubierta la clave de un usuario, se podría tener acceso a
los múltiples sistemas a los que tiene acceso dicho usuario. Sin embargo, estudios
hechos muestran que las personas normalmente suelen manejar una sola password para
todos los sitios a los que tengan acceso, y que si se los fuerza a elegir diferentes
passwords tienden a guardarlas escritas para no olvidarlas, lo cual significa un riesgo
aún mayor. Para implementar la sincronización de passwords entre sistemas es
necesario que todos ellos tengan un alto nivel de seguridad.

• Caducidad y control: este mecanismo controla cuándo pueden y/o deben cambiar sus
passwords los usuarios. Se define el período mínimo que debe pasar para que los
usuarios puedan cambiar sus passwords, y un período máximo que puede transcurrir
para que éstas caduquen.
Encriptación

La información encriptada solamente puede ser desencriptada por quienes posean la

clave apropiada. La encriptación puede proveer de una potente medida de control de acceso.
Este tema será abordado con profundidad en el Capítulo sobre Protección del presente.

Listas de Control de Accesos

Se refiere a un registro donde se encuentran los nombres de los usuarios que obtuvieron
el permiso de acceso a un determinado recurso del sistema, así como la modalidad de acceso
permitido. Este tipo de listas varían considerablemente en su capacidad y flexibilidad.

Límites sobre la Interface de Usuario

Esto límites, generalmente, son utilizados en conjunto con las listas de control de
accesos y restringen a los usuarios a funciones específicas. Básicamente pueden ser de tres
tipos: menús, vistas sobre la base de datos y límites físicos sobre la interface de usuario. Por
ejemplo los cajeros automáticos donde el usuario sólo puede ejecutar ciertas funciones
presionando teclas específicas.

Etiquetas de Seguridad

Consiste en designaciones otorgadas a los recursos (como por ejemplo un archivo) que
pueden utilizarse para varios propósitos como control de accesos, especificación de medidas de
protección, etc. Estas etiquetas no son modificables.

• Control de Acceso Externo

Dispositivos de Control de Puertos

Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar

físicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un
módem.

Firewalls o Puertas de Seguridad

Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada y otra
externa (por ejemplo Internet). Los firewalls permiten que los usuarios internos se conecten a la
red exterior al mismo tiempo que previenen la intromisión de atacantes o virus a los sistemas de
la organización. Este tema será abordado con posterioridad.
Acceso de Personal Contratado o Consultores

Debido a que este tipo de personal en general presta servicios temporarios, debe ponerse
especial consideración en la política y administración de sus perfiles de acceso.

Accesos Públicos

Para los sistemas de información consultados por el público en general, o los utilizados
para distribuir o recibir información computarizada (mediante, por ejemplo, la distribución y
recepción de formularios en soporte magnético, o la consulta y recepción de información a
través del correo electrónico) deben tenerse en cuenta medidas especiales de seguridad, ya que
se incrementa el riesgo y se dificulta su administración. Debe considerarse para estos casos de
sistemas públicos, que un ataque externo o interno puede acarrear un impacto negativo en la
imagen de la organización.

• Administración

Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es
necesario realizar una eficiente administración de estas medidas de seguridad lógica, lo que
involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos de los
usuarios de los sistemas. La política de seguridad que se desarrolle respecto a la seguridad
lógica debe guiar a las decisiones referidas a la determinación de los controles de accesos y
especificando las consideraciones necesarias para el establecimiento de perfiles de usuarios.

La definición de los permisos de acceso requiere determinar cuál será el nivel de seguridad
necesario sobre los datos, por lo que es imprescindible clasificar la información, determinando
el riesgo que produciría una eventual exposición de la misma a usuarios no autorizados. Así los
diversos niveles de la información requerirán diferentes medidas y niveles de seguridad.

Para empezar la implementación, es conveniente comenzar definiendo las medidas de

seguridad sobre la información más sensible o las aplicaciones más críticas, y avanzar de
acuerdo a un orden de prioridad descendiente, establecido alrededor de las aplicaciones. Una
vez clasificados los datos, deberán establecerse las medidas de seguridad para cada uno de los
niveles.

Un programa específico para la administración de los usuarios informáticos desarrollado

sobre la base de las consideraciones expuestas, puede constituir un compromiso vacío, si no
existe una conciencia de la seguridad organizacional por parte de todos los empleados. Esta
conciencia de la seguridad puede alcanzarse mediante el ejemplo del personal directivo en el
cumplimiento de las políticas y el establecimiento de compromisos firmados por el personal,
donde se especifique la responsabilidad de cada uno.

Pero además de este compromiso debe existir una concientización por parte de la
administración hacia el personal en donde se remarque la importancia de la información y las
consecuencias posibles de su pérdida o apropiación de la misma por agentes extraños a la
organización.

Consideraciones para la elaboración de programas de seguridad

Para el desarrollo de los diversos programas de Seguridad es necesario basarse en una

adecuada Administración de los Riesgos. La Administración de los Riesgos deberá entenderse
como su identificación, evaluación y la posterior adopción de medidas que tiendan a minimizar
y mantener los Riesgos a un nivel aceptable para la organización.(Ej. Los Riesgos en
aplicaciones críticas como las Bancarias evidentemente tienen una evaluación distinta que en
una aplicación corriente.)

La Administración de Riesgos y su implementación comprende el desarrollo de una

serie de actividades que serán objeto de tareas específicas de Tecnología de Seguridad
Informática. Asimismo, es de gran importancia en la elaboración de Programas de Seguridad,
tener especial consideración en el imprescindible equilibrio entre los costos y los beneficios a
obtener con la puesta en marcha de los mismos. Es decir, el Programa a implementarse
permitirá establecer la existencia de una seguridad apropiada y costo razonable para cada
Instalación y/o Sistema a instalar.

Evaluación de riesgos

En cuanto al desarrollo e implementación de los distintos Programas de Seguridad

Informática, se hace imprescindible basarse en una adecuada administración de los riesgos.
Entendemos por Riesgo a toda contingencia que pueda tener un efecto adverso sobre la
organización, a través de un impacto en las actividades y/o en sus Sistemas de Información.

La administración de riesgos comprende la determinación, el alcance y la metodología

de evaluación de los mismos, la recopilación y el análisis de los datos, la selección de las
medidas de Seguridad pertinentes, etc. La selección de las medidas de Seguridad deberán incluir
en todos los casos elementos de Seguridad Física (Edificios, Recursos, Infraestructura) y de
Seguridad Lógica (Accesos No-autorizados a Sistemas, Controles de Programación, etc.)
Aplicación de normas COBIT

Las Normas COBIT (Control Objectives for Information and related Technology) es el
resultado de uno de los mayores Proyectos de investigación completado y publicado por la
Organización Mundial de Auditores de Sistemas de Información (ISACF).Este conjunto de
Normas constituye un estándar internacional para la aplicación de un correcto Control de los
Sistemas de Información. Es aplicable a un amplio rango de Sistemas de información que van
desde el nivel de Computadoras Personales, Computadores de Rango Medio, Grandes
Computadores (Mainframes) e Instalaciones Cliente-Servidor.

En general, se puede sintetizar los objetivos de las NORMAS COBIT en los siguientes
puntos:

• Es una guía muy importante para la gerencia en la toma de decisiones sobre riesgos y
controles
• Ayuda al usuario de Tecnología a obtener seguridad y control sobre los productos y
servicios que adquiere.
• Provee a la Auditoria de Sistemas Informáticos, una herramienta fundamental para
evaluar Controles Internos, Controles Gerenciales, y los mínimos requerimientos de
Control compatibles con el necesario balance Costo-Beneficio de la Organización.
• La aplicación de estos estándares a cualquier Instalación o Emprendimiento Informático
garantiza una correcta y segura utilización de la Información.

Estándares para la administración de accesos a la información

Podemos decir que los controles de acceso a la información constituyen uno de los
parámetros más importantes a la hora de Administrar Seguridad .Con ellos determinamos quién
puede acceder a qué datos, indicando a cada persona un tipo de acceso (perfil) específico.

Para este cometido se utilizan diferentes técnicas que se diferencian significativamente

en términos de precisión, sofisticación y costos. Se utilizan por ejemplo, palabras claves,
algoritmos de encripción, listas de controles de acceso, limitaciones por ubicación de la
información, horarios, etc. Una vez determinados los controles de accesos a la Información, se
hace imprescindible efectuar una eficiente administración de la Seguridad, lo que implica la
implementación, seguimiento, pruebas y modificaciones sobre los "Perfiles" de los usuarios de
los Sistemas.

Este es uno de los puntos fundamentales a tener en cuenta para garantizar la Seguridad y
al mismo tiempo una correcta accesibilidad a la información. En efecto, en todo Proyecto
Informático que pretenda brindar información a diferentes niveles, garantizando correcta toma
de decisiones y accesibilidad a un amplio espectro de usuarios, se deberá prestar mucha
atención a este punto. Para ello es importante que se plantee en la organización, la necesidad de
establecer Estándares para la Administración de Seguridad de accesos. Con ello se garantizará
un eficiente, seguro y al mismo tiempo correcto uso de la Información.

Necesidad de elaboración de planes de contingencia y recuperación de desastres

En la medida que el uso de los Sistemas de Información se expande y más personas

dependen de su continuidad operativa. Tanto más importante es contar con un adecuado Plan de
Contingencia y Recuperación que facilite superar situaciones no deseadas.

Esto que parece algo elemental o trivial, no lo es tanto a la hora de su implementación

práctica. Estamos muy habituados a encontrarnos en situaciones donde grandes organizaciones
encargadas de procesar volúmenes importantes de datos, recurren a diferentes formas de
relevamientos, no siempre hechos con criterios correctos para poder "actualizar" sus datos que
seguramente no poseen correctos por no contar con Planes de Contingencia eficientes.
O seguramente, realizando un trámite nos encontramos con la molesta circunstancia que no
podemos completarlo por "problemas del sistema". Para poder implementar un eficiente nivel
de cobertura ante situaciones de desastres que podrán ser de mayor o menor importancia de
acuerdo a las circunstancias se deberá tener en cuenta una serie de pautas, como ser:

• Identificación en forma preliminar de factores de riesgos ante situaciones de desastres.

• Planificación de acciones a seguir.
• Designación de Responsables de la implementación del Plan.
• Asegurar el correcto funcionamiento del Plan.
Seguridad y auditabilidad de bases de datos

El acceso global a la Información que trajo el advenimiento de la Tecnología de Internet

ha hecho que el problema de Seguridad de la Información se acrecentara de manera alarmante.
En función de esta realidad, se deben extremar los requerimientos de Seguridad en todos los
elementos que configuren el Sistema de Información.

El Sistema de Base de Datos que se decida utilizar en una aplicación determinada,

deberá ser valorado, fundamentalmente por la Seguridad que brinde. Existen, actualmente,
Criterios de Evaluación de Seguridad, con validez internacional, que permiten clasificar cada
Sistema de Base de Datos en distintas categorías de acuerdo a la valoración, que de él hagan,
grupos de expertos en el tema.

Asimismo deberá estudiarse con sumo cuidado las facilidades que el Sistema de Base de
Datos ofrezca para su auditabilidad, qué tipo de información genera, con qué facilidad se
pueden definir opciones, etc.

Un aspecto que merecerá también nuestra atención será el control de acceso que posea,
la posibilidad de definición de perfiles y grupos de perfiles. Si el procesamiento es distribuido
será objeto de nuestra atención el procesamiento y replicación segura, como así también todo
mecanismo que garantice la integridad de los Datos en forma automática.

Seguridad y auditabilidad en redes de procesamiento

En el Procesamiento en Redes, la distribución de responsabilidades en las distintas

etapas de las tareas específicas del mismo, hace que cualquier medida de Seguridad a
implementarse, incluyendo por supuesto, la implementación de Planes de Contingencias se
incremente en complejidad y en la consideración de recursos locales y remotos.

Existen para estos casos un conjunto de medidas a considerar que varían en función de
los inconvenientes previstos y analizados. Es muy necesario en estos casos contar con productos
(Software específico) que efectúen el análisis de las Redes y sus recursos, para poder detectar
anomalías en el funcionamiento de las mismas. Se considera necesaria la inclusión de control de
accesos a Directorios, Archivos, Registros, control contra-robo de datos, e introducción de
Software foráneo con el riesgo de incorporación de virus a la Red que pueden traer
complicaciones graves.

Una de las condiciones necesarias, en general para todo Sistema de Seguridad, es

garantizar la participación y compromiso de la alta gerencia. Este compromiso, no sólo deberá
asegurar el apoyo necesario sino establecer claramente los objetivos y asegurar el cumplimiento
de la Planificación.

Seguridad en Internet

Aún no se han desarrollado los elementos de Seguridad suficientes para garantizar una
absoluta privacidad e integridad de los datos que viajan por la Red. No obstante, los expertos en
Seguridad Informática han desarrollado Sistemas que, bajo ciertas condiciones y con
determinados elementos, nos permiten la utilización de la Red con un grado de Seguridad
aceptable. En estas primeras etapas del desarrollo de Seguridad en Internet, se ha comenzado a
trabajar con cuatro componentes fundamentales, que son:

Autenticación e identificación

Técnica que nos permiten individualizar al autor de determinada acción.

Autorización

Técnica que permite determinar a qué información tienen acceso determinadas

personas.

Integridad de datos

Técnica que garantiza que los datos que viajan por la Red lleguen intactos a su destino.

Privacidad de datos

Técnica que determina quién puede leer la Información una vez que salió del sistema de
Almacenamiento. El grado de avance en estas Tecnologías utilizando Sistemas de FIREWALLS
físicos y lógicos como así también, ENCRIPCION de datos nos permite, con un diseño
apropiado, utilizar esta tecnología como la interface natural de comunicación en todos nuestros
Sistemas de Información, permitiendo que de cualquier parte del mundo se pueda acceder a
ellos con la seguridad adecuada.

Administración del personal y de los usuarios

Los elementos a tener en cuenta en seguridad referentes a la administración del Personal

encargado de operar los Sistemas de Información y de los usuarios en general están
relacionados con las interacciones de las personas, los equipos informáticos y las autorizaciones
que cada uno necesita para llevar a cabo su trabajo. Para ello podemos mencionar cuatro puntos
que consideramos los fundamentales para esta tarea:

• Organización del Personal.

• Administración de Usuarios.
• Permisos de accesos del personal contratado.
• Accesos Públicos.

Este último punto, de gran importancia, en todo Sistema que lo requiera, es de singular
importancia para la determinación de la Seguridad, pues requiere medidas específicas, ya que,
por razones lógicas, se incrementa notablemente el riesgo y se dificulta la administración.

Acceso público seguro a la información

Uno de los objetivos quizá, de mayor importancia, en todo Proyecto Informático es

poner a disposición de la mayor cantidad de personas, la información procesada. Esto, por todo
lo que hemos estado analizando, será factible, sólo si se planifican desde el comienzo del
Diseño de Sistemas medidas que garanticen un acceso ágil y SEGURO a la Información
clasificada como pública.

Adoptar nuevas medidas de Seguridad a un Sistema, luego de que ha ocurrido alguna

violación o falla cuando éste ya ha sido implementado (como sucede a diario en la mayoría de
los casos) puede traer consecuencias no deseables en la performance y provocar una mala
relación costo-efectividad de los controles.

Para que esto no ocurra, desde las etapas preliminares del diseño, debemos cerciorarnos
que se tomen las medidas necesarias para implementar Seguridad en todos y cada uno de los
componentes del Sistema, (Bases de datos, Redes de Procesamiento, Internet, Personal,
Equipamiento, etc.). El acceso público a la información clasificada como tal, es algo que, en
función de los recursos tecnológicos y de comunicaciones de los que disponemos hoy no tendría
que ser objeto de ningún tipo de limitaciones. Sin embargo, si todo el entorno informático no
está preparado para ese cometido desde el punto de vista de Auditoría y Seguridad, es muy
difícil llevar adelante este objetivo
 CONCLUSIONES

Generalmente, la Seguridad Informática consiste en asegurar que los recursos del

sistema de información (Software, hardware y datos) de una organización sean utilizados de la
manera como se planeó. Hoy en día, los sistemas informáticos son herramientas muy útiles.
Básicamente, en ellos, se registra y procesa la información de las empresas; pero son
susceptibles de amenazas; por tal razón, la Auditoria y Seguridad Informática se encarga de
evaluar si se están cumpliendo con las medidas de control para minimizar los riesgos que
conlleva la utilización de sistemas informáticos.

Según las fuentes de amenazas, estos riesgos clasifican en Seguridad Lógica y

Seguridad Física. El activo más importante de una organización es la información; por ello, es
necesario contar con planes y políticas para protegerla.

Nunca se puede dogmatizar que la seguridad perfecta existe. Eso no es cierto, lo afirme
quien lo afirme. Pero, al menos, si que se pueden adoptar medidas preventivas y políticas de
seguridad que impidan o minimicen un caos.

En todo emprendimiento informático debe estar presente, desde las ideas preliminares
del diseño, el concepto de Seguridad. Las empresas (todas en común), comenten un error y es
que se preocupan por la seguridad externa y olvidan la interna, y es ahí que se fuga mas del 80
% de la información de la misma.

Los beneficios de un Sistema de Seguridad internos bien elaborados son inmediatos, ya

que la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes
puntos:

 Aumento de la productividad
 Compromiso con la misión de la compañía
 Ayuda a formar equipos competentes
 Mejora de los climas laborales para los Recursos Humanos

Por todo lo descrito anteriormente, los encargados de la Auditoria y Seguridad

Informática (internos como externos) deben encargarse de analizar y evaluar la planificación, el
control, la eficacia, la seguridad, la economía y la adecuación de la infraestructura Informática
de la empresa, con el fin de identificar los riesgos, su impacto y comunicar a las instancias
respectivas para tomar las acciones necesarias para minimizar los mismos y, de esta manera,
proteger como se dijo anteriormente uno de los activos más importantes: la Información.