Auditora de sistemas

Unidad VII Seguridad en el rea de operaciones

Introduccin

En este trabajo se pretenden cuidar los criterios de la auditora relacionados con la seguridad en el rea de operaciones, para tener un mejor control con respecto a la informacin.
Se analizarn cuidadosamente los medios por los cuales los datos pueden sufrir daos perjudiciales, as como las seales de alerta en dicha rea.

Objetivos y Criterios de seguridad

Es de vital importancia llevar un control de acceso a los recursos de cmputo; as como prever la seguridad fsica de los recursos de cmputo, para protegerlos contra cualquier uso no autorizado, el dao la prdida o las modificaciones. Para esto se deben asignar las responsabilidades para el control de acceso y seguridad en el rea de operaciones. Cuando sea necesario se debe nombrar un gerente de seguridad que informe a la gerencia general.

Objetivos y Criterios de seguridad

Debera tambin examinarse la responsabilidad para el control de acceso y la seguridad operacional, no obstante entrevistar al gerente de seguridad en caso de que exista. Verificar si su comunicacin con los dems empleados responsables de seguridad propicia la comprensin de las responsabilidades y si estas son congruentes con las manifestadas en los planes de seguridad de la organizacin.

Objetivos y Criterios de seguridad

Un punto clave en esta rea de operacin es la restriccin de acceso al centro de cmputo slo a personal autorizado, deberan revisarse los procedimientos de acceso al centro de cmputo
De esta forma asegurarse de que existan procedimientos que definen las restricciones del acceso al centro de cmputo.

Objetivos y Criterios de seguridad

cerciorarse de que los procedimientos estn vigentes y evitar que las personas no autorizadas entren al centro de cmputo. Observar, en diferentes ocasiones, si slo el personal autorizado se encuentra en la sala de cmputo.

Objetivos y Criterios de seguridad

Se debe acompaar a cualquier persona que no sea del rea de operaciones de cmputo cuando se encuentre en esa rea.
Deberan revisarse los procedimientos relacionados con la escolta de personal ajeno al centro de cmputo, Revisar los procedimientos para identificacin continua del personal ajeno que se encuentre en las reas de operacin del centro de cmputo.

Objetivos y Criterios de seguridad

El control de acceso a las terminales se debe programar especficamente las horas de operacin del acceso a terminales conectadas que estn manejando informacin confidencial, para esto se debe tomar en cuenta los procedimientos de ubicacin y uso de las terminales.
En general, revisar las polticas para la ubicacin de las terminales y de aquellas que pueden desplegar informacin confidencial de la organizacin, as como asegurarse de que la activacin de terminales est protegida por medio de claves de acceso, password, o por tcnicas similares.

Objetivos y Criterios de seguridad

Otro aspecto a tomar en cuenta en el rea de operaciones es que se deben registrar los accesos de la terminal a los datos y se deben revisar peridicamente los reportes de actividad de las terminales.

Objetivos y Criterios de seguridad

En un medio ambiente de acceso en lnea debe existir una seguridad de acceso y un control basado en la clasificacin de la informacin del archivo y de las llaves de acceso al software o las transacciones. En el rea de operaciones es comn el que se efecten prcticas adecuadas de seguridad tales como no identificar la ubicacin de las instalaciones de sistemas de informacin,

Objetivos y Criterios de seguridad

Por eso es necesario visitar las instalaciones de sistemas de informaciones para asegurarse de la naturaleza de la instalacin y de que no sea identificable fcilmente mediante seales o marcas revisando los directorios y otra documentacin proporcionada por la organizacin. Para asegurarse de que la ubicacin de las instalaciones del sistema de informacin no se identifica fcilmente. Para finalizar es recomendable probar peridicamente los planes de seguridad, evaluando la efectividad y la calidad de las pruebas de seguridad.

Seales de alerta en el rea de operaciones.

Ms que nada consiste en identificar los problemas que pueden presentarse y analizar las medidas que conduzcan a su total eliminacin; para ello se tienen que evaluar los riesgos, hay que considerar entre otros factores el tipo de informacin almacenada, procesada y transmitida, entre otros factores.

Seales de alerta en el rea de operaciones.

Visto de otra manera, la auditora de la seguridad consiste en revisar si se han considerado las amenazas, o bien evaluarlas si es el objetivo. Y de todo tipo de errores y negligencias, desastres naturales, fallos de instalaciones o bien fraudes o delitos, y que puedan traducirse en daos a:

personas, datos, programas, redes, instalaciones, u otros activos,

y llegar a suponer un peor servicio a usuarios internos y externos.

Seales de alerta en el rea de operaciones.

Se debe proteger los archivos de cmputo contra accidentes, destruccin y utilizacin por parte del personal no autorizado as como tambin revisarse los mecanismos de proteccin fsica contra la destruccin o mal uso de los archivos;
Para esto hay que tomar en cuenta lo siguiente:

Cuidar la condicin de los archivos mediante un muestreo para determinar si han sido mal utilizados o maltratados.

Seales de alerta en el rea de operaciones.

Confirmar que el acceso fsico a la biblioteca este completamente restringido.

Comprobar que los procedimientos especifiquen que se quiten los anillos para proteccin de archivos de todas las cintas de la biblioteca.

Seales de alerta en el rea de operaciones.

Cabe destacar que los documentos son de importancia por lo que tambin requieren de proteccin privada, confidencial, vigente y disponible para respaldo; en este punto tambin deberan revisarse las medidas de seguridad relacionadas con los documentos y las formas.

Seales de alerta en el rea de operaciones.

Se debe capacitar al personal de operaciones del centro de cmputo para la aplicacin de controles y procedimientos de seguridad as como ratificar la conciencia del personal de operacin en cuanto a medidas de seguridad como podran ser:
verificar que los procedimientos operacionales para incendio, inundacin y sistemas de alarma estn al alcance de todo el personal de operaciones. asegurase de que el personal de operaciones est capacitado adecuadamente para utilizar los equipos contra incendio e inundacin.

Seales de alerta en el rea de operaciones.

Todo esto que se ha comentado, es con la finalidad de evaluar los desastres que existen, ya que un centro de operaciones est expuesto a sufrir cualquier tipo de daos. Debemos tomar en cuenta que las medidas deben considerarse como inversiones en seguridad, aunque en algunos casos los vemos en activos contables, ya que nos va a costar un poco de dinero invertir y asegurar nuestro centro de operaciones pero que a la larga nos vendr beneficiando de diversas formas.

Tcnicas y herramientas de auditora

La proteccin no ha de basarse slo en dispositivos y medios fsicos, sino en formacin e informacin adecuada al personal.
Otro de los riesgos que se han podido asumir de forma temporal, por estar en proceso de cambio; la seguridad no es un tema meramente tcnico, aunque sean muy tcnicas algunas de las medidas que haya que implantar.

Tcnicas y herramientas de auditora

Es necesaria la designacin de propietarios de los activos, sobre todo de los datos y que son quienes pueden realizar la clasificacin y autorizar las reglas de acceso; cuando se habla de la seguridad estamos hablando de tres aspectos:

Confidencialidad Integridad Disponibilidad.

Tcnicas y herramientas de auditora

Confidencialidad, esto es cuando slo las personas autorizadas pueden conocer los datos o la informacin correspondiente. Integridad, consiste en que slo los usuarios autorizados puedan variar (modificar o borrar) los datos. Disponibilidad, se alcanza si las personas autorizadas pueden acceder a tiempo a la informacin a la que estn autorizadas.
Todo esto ya se hizo mencin anteriormente como muestra de las anomalas que pueden surgir.

Programas de trabajo de auditora

Los recursos del rea de cmputo se deben utilizar de forma efectiva, mediante el mantenimiento de un programa de produccin, en los cuales se debe llevar un control de las entradas y salidas, as como los archivos de datos en almacenamiento.
Es por ello que se puede llevar a cabo el programa de cargas de trabajo. Esta consiste en tener un uso eficiente de los recursos utilizados en las instalaciones o el rea en cuestin, para ello se deben programar todas las tareas a realizar en el centro de cmputo o rea en cuestin.

Programas de trabajo de auditora

Estos programas o actividades programadas, se debe verificar si se han cumplido y si ha sido eficiente la solucin de dichas actividades.
Este control puede llevarse a cabo por medio de una bitcora de actividades del rea, la cual puede contener una lista de actividades calendarizadas con la fecha y hora de entrada y salida , el tiempo que tomo dicha actividad, los datos utilizados, entre otros.

Programas de trabajo de auditora

Se debe llevar un control de todas las dems actividades y trabajos realizados a otras reas, dicha lista debe contener si la documentacin o el trabajo se atiende por orden de prioridad, tiempo en que se procesar la informacin y el responsable de procesar la informacin.
Tambin se debe examinar el calendario de actividades que mantiene el centro de cmputo, en cuanto a las actividades y la distribucin del trabajo en el rea de trabajo.

Programas de trabajo de auditora

Se debe tener en cuenta tambin si hay disponibilidad de equipo en el centro de procesamiento y si estos son suficientes para las cargas del trabajo que se tenga en el rea. Adems se deben definir las caractersticas de los trabajos y si se han establecidos las prioridades de los trabajos y si se siguen estos lineamientos tanto para los trabajos internos del rea o de otros departamentos, este control puede llevarse por medio de una bitcora. Tambin se deben evaluar y reportar los servicios u actividades que se han realizado y si estos se resolvieron de forma ptima.

Programas de trabajo de auditora

PROGRAMA DE DISTRIBUCIN DEL PERSONAL Bsicamente se refiere a la programacin de los recursos humanos o sea las personas que intervienen en el centro de cmputo, es decir las actividades que realizan y si son las adecuadas. Es por ello que se debe examinar detalladamente el organigrama vigente del centro de cmputo, para delimitar las actividades que le confieren a cada persona. Se debe determinar si la responsabilidad de cada rea funcional esta asignada a una sola persona o ms, ya que esto permite delegar responsabilidades al personal.

Programas de trabajo de auditora

La o las personas responsables del rea deben realizar un reporte ya sea semanal mensual o quincenal, reportando las actividades realizadas en el rea. Esto se realiza para tener un mejor control de las actividades realizadas y si se han cumplido con los objetivos establecidos, permitiendo evaluar el rea de trabajo, es decir, si se ha podido sacar todo el trabajo de forma ptima y eficaz.

Programas de trabajo de auditora

Se debe mantener actualizado el calendario de recursos humanos, lo cual ayudar a reflejar los resultados de las cargas de trabajo, licencias, vacaciones, comisiones etc.
Tambin permite verificar si se cumplen con las obligaciones de cada persona o departamento en nuestro caso el centro de cmputo.

Programas de trabajo de auditora

CALENDARIO DE MANTENIMIENTO
Este debe incluir el mantenimiento que se le da a los equipos ya sea por el personal que labora en el centro de cmputo o empresas o personas especializadas. El mantenimiento de los equipos debe realizarse en periodos de tiempo especficos y siguiendo una calendarizacin en tiempo seis meses, dos meses, anual etc.

Programas de trabajo de auditora

Deben revisarse los contratos de renta o compra de equipo, para verificar el vencimiento de garantas y as determinar el mantenimiento preventivo y la frecuencia con que ste debe hacerse. Se debe realizar una lista de actividades o cargas de trabajo programadas y existentes, esto es para no crear conflictos entre el mantenimiento del equipo con las cargas de trabajo.

Programas de trabajo de auditora

Confirmar si el calendario de produccin del personal es flexible para permitir la desconexin del equipo para realizar el mantenimiento del equipo ya sea preventivo o correctivo. Es por ello que es muy importante que no se programe el mantenimiento de equipo cuando hay grandes cargas de trabajo en el centro de cmputo.

Fases de la auditora de seguridad

Estas fases pueden ser de carcter general e incluyen:

Los objetivos, la delimitacin y el alcance de la auditora, as como tambin el tiempo que cubre la auditora Un anlisis de las fuentes de recopilacin de informacin, este no necesariamente debe existir como en los casos de auditorias internas La comunicacin a la entidad, el plan de trabajo y los recursos necesarios

Fases de la auditora de seguridad

Adecuar cuestionarios segn las necesidades y en algunos casos se necesitar de especialistas para realizar auditoras, para ellos se requieren los servicios de auditores externos, es decir empresas o personas que se dedican a realizar auditorias. Realizacin de entrevistas y pruebas Informe definitivo de la auditoria, con sus respectivas recomendaciones.

 Fin