UNIDAD IV.

EVALUACIN DE LA SEGURIDAD

4.1 Generalidades de la seguridad del rea fsica Durante mucho tiempo se considero que los procedimientos de auditora y seguridad era responsabilidad de la persona que elabora los sistemas, sin considerar que es responsabilidad del rea de informtica en cuanto a la utilizacin que se le da a la informacin y a la forma de accesarla, y del departamento de auditora interna en cuanto a la supervisin y diseo de los controles necesarios. La seguridad del rea de informtica tiene como objetivos:

Proteger la integridad, exactitud y confidencialidad de la informacin. Proteger los activos ante desastres provocados por la mano del hombre y de actos hostiles. Proteger la organizacin contra situaciones externas como desastres naturales y sabotajes. En caso de desastre, contar con los planes y polticas de contingencias para lograr una pronta recuperacin. Contar con los seguros necesarios que cubran las prdidas econmicas en caso de desastre.

Los motivos de los delitos por computadora normalmente son por:

Beneficio personal Beneficios para la organizacin Sndrome de Robn Hood (por beneficiar a otra persona) Jugando a jugar Fcil de desfalcar El individuo tiene problemas financieros La computadora no tiene sentimientos El departamento es deshonesto odio a la organizacin Equivocacin de ego Mentalidad turbada

Se consideran que hay cinco factores que han permitido el incremento de los crmenes por computadora.

El aumento del nmero de personas que se encuentran estudiando computacin El aumento del nmero de empleados que tienen acceso a los equipos La facilidad en los equipos de cmputo El incremento en la concentracin del nmero de aplicaciones y, consecuentemente, de la informacin.

En la actualidad las compaas cuentan con grandes dispositivos para seguridad fsica de las computadoras, y se tiene la idea que los sistemas no puedan ser violados si no se entra en el centro de cmputo, olvidando que se pueden usar terminales y sistemas de teleproceso.

Cuestionario 1.- Cul es la responsabilidad del rea de informtica? La utilizacin que se le da a la informacin y a la forma de acceder a ella

2.- Cul es la responsabilidad del departamento de auditoria interna? La supervisin y diseo de los controles necesarios

3.- Cul es el objetivo de la seguridad del rea de informtica? Proteger la integridad, exactitud y confidencialidad de la informacin

4.- Mencione 2 motivos de delitos por computadora Beneficio personal Beneficio para la organizacin

4.2 Seguridad lgica y confidencial Se encarga de los controles de acceso que estn diseados para salvaguardar la integridad de la informacin almacenada de una computadora, as como controlar el mal uso de su informacin. Estos controles reducen el riesgo de caer en situaciones adversas.

La seguridad lgica se encarga de controlar y salvaguardar la informacin generada por los sistemas, por el software de desarrollo y por los programas en aplicacin; identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especfico, en las redes y terminales. La falta de seguridad lgica o su violacin puede traer las siguientes consecuencias a la organizacin:

Cambio de los datos antes o cuando se le da entrada a la computadora Copias de programas y/o informacin Cdigo oculto en un programa Entrada de virus

Los sistemas de seguridad normalmente no se consideran la posibilidad de fraude cometida por los empleados en el desarrollo de sus funciones. Un mtodo eficaz para proteger los sistemas de computacin el software de control de acceso. Estos paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contrasea antes de permitirle el acceso a informacin confidencial.

Cuestionario 1.- de qu se encarga la seguridad lgica? De los controles de acceso diseados para salvaguardar la integridad de la informacin

2.- Qu incrementa un inadecuado control de acceso lgico? El potencial de la organizacin para perder informacin

3.- Mencione 2 consecuencias que trae la falta de seguridad lgica Cambio de los datos antes o cuando se le da entrada a la computadora Copias de programas y/o informacin

4.- Qu puede evitar la seguridad lgica? Una afectacin de prdida de registros

5.- Qu mtodo es eficaz para proteger los sistemas de computacin?

3

El software de control de acceso 4.3 Seguridad personal

Un buen centro de cmputo depende, en gran medida, de la integridad, estabilidad y lealtad del personal, por lo que al momento de reclutarlo es conveniente hacerle exmenes psicolgicos y mdicos, y tener muy en cuenta sus antecedentes de trabajo.

Se debe considerar sus valores sociales y, en general, su estabilidad, ya que normalmente son personas que trabajan bajo presin y con mucho estrs, por lo que importa mucho su actitud y comportamiento.

El personal de informtica debe tener desarrollado un alto sistema tico y de lealtad, pero la profesin en algunas ocasiones cuenta con personas que subestiman los sistemas de control, por lo que el auditor tiene que examinar no solamente el trabajo del personal de informtica, si no la veracidad y confiabilidad de los programas de procesamiento.

Se debe tener polticas de rotacin de personal que disminuyan la posibilidad de fraude. Si un empleado est cometiendo un fraude y se le cambia a otra actividad al mes, sera muy arriesgado cometer un fraude por que la nueva persona que est en su lugar pueda detectarlo fcilmente.

Se deber evaluar la motivacin del personal, ya que un empleado motivado normalmente tiene un alto grado de lealtad, con lo que disminuir la posibilidad de ataques intencionados a la organizacin.

Una de las formas de lograr la motivacin es darle al personal la capacitacin y actualizacin que requiere, as como proporcionarle las retribuciones e incentivos justos. El programador honesto en ocasiones elabora programas que ponen en peligro la seguridad de la empresa, ya que no se considera un procedimiento de auditoria dentro de los programas para disminuir o limitar las posibilidades de fraude.
4

En muchas ocasiones el mayor riesgo de fraude o mal uso de la informacin est dentro del mismo personal, y la mayor seguridad est en contar con personal leal, honesto y con tica. Para lograr esto se debe contar con personal capacitado, motivado y con remuneraciones adecuadas, pero tambin se debe prever la posibilidad de personal mal intencionado, para lo cual se debe tener los controles de seguridad sealados, las cuales deben de ser observados principalmente por el personal del rea de informtica.

Cuestionario 1.- de qu depende un buen centro de cmputo? De la integridad, estabilidad y lealtad del personal

2.- Qu se debe considerar del personal que estar a cargo? Sus valores sociales y en general su estabilidad

3.- Qu debe establecer la organizacin para disminuir la posibilidad de fraude? Polticas de rotacin del personal

4.- Qu se debe evaluar para disminuir la posibilidad de ataques intencionados a la organizacin? La motivacin del personal

5.- de qu forma se logra la motivacin del personal? Dndole la capacitacin y actualizacin que requiere y proporcionarle las retribuciones e incentivos justos.

4.4 Clasificacin de los controles de seguridad

El gran crecimiento de las redes, interconexiones y telecomunicaciones en general, incluido el uso de Internet de forma casi corriente, ha demostrado que la seguridad fsica no lo es todo. Es un punto que debe complementarse necesariamente con la implementacin de controles para la seguridad lgica de
5

los sistemas y computadoras. Es esa tendencia de interconexin de redes con otras redes, o de una simple PC a Internet la que nos da la pauta de que an si usamos tarjetas electrnicas para acceder a nuestra oficina, hay otras puertas traseras mucho menos evidentes que debemos controlar porque nuestros sistemas estn virtualmente a la espera de que alguien intente utilizarlos.

Los controles:

Identificacin y autenticacin de usuarios.- Identificacin es el proceso de distinguir una persona de otra; y autenticacin es validar por algn medio que esa persona es quien dice ser Los controles biomtricos: Huellas dactilares Patrones de la retina Geometra de la mano Dinmica de la firma Patrones de la voz Programas de control de acceso.- Programas diseados para administrar los permisos de acceso a los recursos del sistema de informacin. Controles para el software.- Sirven para asegurar la seguridad y confiabilidad del software. Controles para el hardware.- Controles que aseguran la seguridad fsica y el correcto funcionamiento del hardware de cmputo.

Cuestionario 1.- Cules son los 2 tipos de controles que pueden ser implantados para minimizar el riesgo de la seguridad lgica? Los controles de software de seguridad y de software especifico

2.- para qu sirven los controles de software de seguridad general? Para el control de acceso a programas y a la informacin

3.- Qu debe registrar la bitcora de auditoria? Cambios en el software antes de la implementacin

6

4.- para qu son usadas las bitcoras de auditoria? Para monitorear los accesos permitidos y negados

4.5 Seguridad de los datos y software de aplicacin

El acceso a la computadora no significa tener una entrada sin restricciones. Limitar el acceso solo a los niveles apropiados puede proporcionar una mayor seguridad.

Cada uno de los sistemas de informacin tiene una ruta de acceso, la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema.

Como se ha sealado, un usuario puede pasar por uno o mltiples niveles de seguridad antes de obtener el acceso a los programas y datos. Los tipos de restricciones son: Solo lectura Solo consulta Lectura y consulta Lectura, escritura, para crear, actualizar, borrar, ejecutar o copiar.

Software de control de acceso Este puede ser definido como el software diseado para emitir el manejo y control del acceso a los siguientes recursos: Programas de libreras Archivos de datos Jobs Programas de aplicacin Mdulos de funciones Utileras Diccionario de datos Archivos Programas Comunicacin
7

Controla el acceso a la informacin, grabando e investigando los eventos realizados y el acceso a los recursos, por medio de identificacin del usuario.

El software de control de acceso tiene las siguientes funciones: Definicin de usuarios Definicin de las funciones del usuario despus de accesar el sistema

El software de seguridad protege los recursos mediante la identificacin de los usuarios autorizados con llaves de acceso, que son archivadas y guardadas por este software. 4.6 Controles para evaluar software de aplicacin

Controles del software de seguridad general

Aplican para todos los tipos de software y recursos relacionados y sirven para: El control de acceso a programas y a la instalacin Vigilar los cambios realizados Controles de acceso a programas y datos Cambios realizados Diseo y cdigo de modificaciones Coordinacin de otros cambios Asignacin de responsabilidades Revisin de estndares y aprobacin Requerimientos mnimos de prueba Procedimientos del respaldo en el evento de interrupcin

Controles de software especifico Se presentan algunos de los controles usados por los diferentes tipos de software especfico:

El acceso al sistema debe de ser restringido para individuos no autorizados

Se debe controlar el acceso a los proceso y a las aplicaciones permitiendo a los usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas no autorizadas logren el acceso.

Se limitara tanto a usuarios como a programadores de aplicaciones a un tipo especfico de acceso de datos. Para asegurar las rutas de acceso deber restringirse el acceso a secciones o tablas de seguridad, mismas que debern ser encriptados.

Debern restringirse las modificaciones o cambios al software de control de acceso, y stos debern ser realizados de acuerdo y a procedimientos no autorizados:

Software de sistemas operativos. Controles que incluye: Los password e identificadores debern ser confidenciales El acceso al software de sistema operativo deber ser restringido Los administradores de seguridad debern ser los nicos con autoridad para modificar funciones del sistema Software manejador de base de datos. Controles que incluye: El acceso a los archivos de datos deber ser restringido en una vista de datos lgica. Deber controlar el acceso al diccionario de datos La base de datos debe ser segura y se usaran las facilidades de control de acceso construidas dentro del software DBMS Software de consolas o terminales maestras. Controles que incluye: Los cambios realizados al software de consolas o terminales maestras debern ser protegidas y controlados Software de libreras. Controles que incluye: Tiene la facilidad de comparar dos versiones de programas en cdigo fuente y reportar las diferencias Deben limitarse el acceso a programas o datos almacenados por el software de libreras. Las versiones correctas de los programas de produccin deben corresponder a los programas objetos Software de utileras. Controles que incluye:
9

Debern restringirse el acceso a archivos de utileras.

Asegurar que nicamente personal autorizado tenga acceso a correr aplicaciones

Software de telecomunicaciones. Controles que incluye: Controles de acceso a datos sensibles y recursos de la red El acceso diario al sistema debe ser monitoreado y protegido

Cuestionario 1.- para qu sirven los controles para evaluar software de aplicacin? Para vigilar los cambios realizados

2.- a quin se le debe restringir el acceso al sistema? A individuos no autorizados

3.- Qu se debe restringir asegurar las rutas de acceso? El acceso a secciones o tablas de seguridad

4.- Mencione un control que incluye el software de sistemas operativos Los password e identificadores 5.- Cmo debe ser restringido el acceso a los archivos de datos? En una vista de datos lgica

4.7 Controles para prevenir crmenes y fraudes informticos

Cuando hablamos de realizar la evaluacin de la seguridad es importante tambin conocer cmo desarrollar y ejecutar el implantar un sistema de seguridad.

Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa."

10

Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad. Sistema Integral de Seguridad Definir elementos administrativos Definir polticas de seguridad A nivel departamental A nivel institucional Organizar y dividir las responsabilidades Contemplar la seguridad fsica contra catstrofes (incendios, terremotos, inundaciones, etc.) Definir prcticas de seguridad para el personal: Plan de emergencia (plan de evacuacin, uso de recursos de emergencia como extinguidores. Nmeros telefnicos de emergencia Definir el tipo de plizas de seguros Definir elementos tcnicos de procedimientos Definir las necesidades de sistemas de seguridad para: Hardware y software Flujo de energa Cableados locales y externos Aplicacin de los sistemas de seguridad incluyendo datos y archivos Planificacin de los papeles de los auditores internos y externos Planificacin de programas de desastre y sus pruebas (simulacin) Planificacin de equipos de contingencia con carcter peridico Control de desechos de los nodos importantes del sistema: Poltica de destruccin de basura copias, fotocopias, etc.

Etapas para Implementar un Sistema de Seguridad

Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos:

11

Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad. Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la informacin en la organizacin a nivel software, hardware, recursos humanos, y ambientales.

Elaborar un plan para un programa de seguridad.

Un plan de seguridad para un sistema de seguridad integral debe contemplar: El plan de seguridad debe asegurar la integridad y exactitud de los datos Debe permitir identificar la informacin que es confidencial Debe contemplar reas de uso exclusivo Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles Debe asegurar la capacidad de la organizacin para sobrevivir accidentes Debe proteger a los empleados contra tentaciones o sospechas innecesarias Debe contemplar la administracin contra acusaciones por imprudencia

Cuestionario 1.- Qu se debe conocer al realizar la evaluacin de seguridad? Como desarrollar y ejecutar al implantar un sistema de seguridad

2.- Mencione 2 consideraciones de un sistema integral de seguridad Definir elemento administrativo Definir polticas de seguridad 3.- Mencione la etapa para implementar un sistema de seguridad Sensibilizar a los objetivos de la organizacin entorno al tema de seguridad

12

4.8 Plan de contingencia, seguros, procedimiento de recuperacin de desastres

Plan de contingencias El plan de contingencias y el plan de seguridad tienen como finalidad proveer a la organizacin de requerimientos para su recuperacin ante desastres. La metodologa tiene como finalidad conducir de la manera ms efectiva un plan de recuperacin ante una contingencia sufrida por la organizacin.

El plan de contingencia es definido como: la identificacin y proteccin de los procesos crticos de la organizacin y los recursos requeridos para mantener un aceptable nivel de transacciones y de ejecucin, protegiendo estos recursos y preparando procedimientos para asegurar la sobrevivencia de la organizacin en caso de desastre.

Entre los objetivos del plan de contingencia se encuentran:

Minimizar el impacto del desastre en la organizacin. Establecer tareas para evaluar los procesos indispensables de la organizacin. Evaluar los procesos de la organizacin, con el apoyo y autorizacin respectivos a travs de una buena metodologa. Determinar el costo del plan de recuperacin, incluyendo la capacitacin y la organizacin para restablecer los procesos crticos de la organizacin cuando ocurra una interrupcin de las operaciones.

Seguros Los seguros de los equipos en algunas ocasiones se dejan en segundo trmino, aunque son de gran importancia. Se tiene poco conocimiento de los riesgos que entraa la computacin, ya que en ocasiones el riesgo no es claro para las compaas de seguros, debido a lo nuevo de la herramienta, a la poca experiencia existente sobre desastres y al rpido avance de la tecnologa.

13

Cuestionario 1.- Cul es la finalidad del plan de contingencia? Proveer a la organizacin de requerimientos para su recuperacin ante desastres 2.- Cmo es definido el plan de contingencia? Como la identificacin y proteccin de los procesos crticos de la organizacin

3.- Mencione un objetivo del plan de contingencia Minimizar el impacto del desastre en la organizacin 4.- Qu debe cubrir el seguro? Todo el equipo y su instalacion

4.9 Tcnicas y herramientas relacionadas con la seguridad fsica y del personal Proteccin a los procedimientos de procesamiento y los equipos contra las intervenciones exteriores:

Slo se debe permitir al personal autorizado que maneje los equipos de procesamiento. Slo se permitir la entrada al personal autorizado y competente Seleccionar al personal mediante la aplicacin de exmenes integrales: mdico, psicolgico, aptitudes, etc.

Contratar personal que viva en zonas cercanas a la empresa. Acondicionar los locales, de acuerdo con las normas de seguridad. Capacitar y adiestrar al personal respecto a los riesgos a los que se exponen y la manera de evitarlos. Practicar con periodicidad exmenes mdicos al personal Sostener plticas informales, directas e individuales con el personal. Instalar carteles y propaganda mural referentes a la seguridad. Elaborar estadsticas sobre riesgos ocurridos y derivar de ellas las medidas concretas adoptables para evitar su repeticin. Enterar al personal sobre dichas estadsticas y las medidas adoptadas. Proponer otras actividades que se consideren necesarias.
14

Cuestionario 1.- Qu se debe permitir al personal autorizado? Que maneje los equipos de procesamiento 2.- Cmo se selecciona al personal? Mediante la aplicacin de exmenes integrales

4.10 Tcnicas y herramientas relacionadas con la seguridad de los datos y software de aplicacin Proteccin de los registros y de los archivos Formas en que se pueden perder los archivos: Su presencia en un ambiente destructivo. Manejo indebido por parte del operador. Mal funcionamiento de la mquina. Plan de preservacin Documentos fuente: Los documentos fuente en los que se basa un archivo de entrada deben ser retenidos intactos hasta el momento en que el archivo sea comprobado. Archivo de discos: Una caracterstica del archivo de discos es que el registro anterior es destruido, no produce una copia

automticamente una copia en duplicado. Vaciado a otros medios: Esto puede ser vaciado a otros discos, o a papel de impresin. Objetivos de la auditora del software de aplicacin

Verificar la presencia de procedimientos y controles. Para satisfacer: La instalacin del software La operacin y seguridad del software La administracin del software Detectar el grado de confiabilidad. Grado de confianza, satisfaccin y desempeo Investigar si existen polticas con relacin al software Detectar si existen controles de seguridad Verificar que sea software legalizado Actualizacin del software de aplicacin
15

Tipos de controles Control de distribucin. Validacin de datos. Totales de control. Control de secuencia. Pruebas de consistencia y verosimilitud. Dgito de control. Control de distribucin

16

CONCLUSION Se logr comprender cada uno de los temas y como es que funciona la evaluacin de la seguridad para poder mantener la integridad de los datos y proteger la informacin confidencial de la empresa.

Se investigaron programas o aplicaciones que se aplican a los temas de la unidad de acuerdo al funcionamiento que tiene cada una de estas.

17

BIBLIOGRAFIA Echenique Garca, Jos Antonio, Auditora en Informtica. Mcgraw-Hill, Mxico, 2003. http://www.mitecnologico.com/Main/TacnicasYHerramientasRelacionadasConS eguridadDeDatosYSoftwareDeAplicacion.

18