UNIDAD 3 ADMINISTRACIN DE LA SEGURIDAD INFORMTICA

OBJETIVOS PARTICULARES DE LA UNIDAD Al trmino de la unidad, el alumno: Entender la importancia de la funcin, y como parte fundamental del entorno globalizado de negocios. Planear la funcin de seguridad informtica como parte clave de las organizaciones. Describir las prcticas administrativas ue son necesarias para el buen funcionamiento de la funcin de seguridad informtica. 3.1 OBJETIVOS AL ADMINISTRAR LA FUNCION !us ob"etivos son identifi !"# !n!$i%!"# & e$i'in!" ( (nt"($!" las fuentes de riesgos antes de ue empiecen #a amenazar el funcionamiento continuo y confiable de los sistemas de informacin. $a seguridad de la informacin tiene dos aspectos. El primero consiste en negar el acceso a los datos a a uellas personas ue no tengan derec#o a ellos, al cual tambin se le puede llamar proteccin de la privacidad, si se trata de datos personales, y mantenimiento de la seguridad en el caso de datos institucionales. %n segundo aspecto de la proteccin es garantizar el acceso a todos los datos importantes a las personas ue e"ercen adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad de proteger los datos ue se les #a confiado. En general, la proteccin de los datos re uiere e"ercer un control sobre la lectura, escritura y empleo de esa informacin. Para obtener mayor eficiencia en la proteccin se debe tener siempre presente la proteccin de los datos, el mantenimiento de la privacidad y la seguridad del secreto. [ASI] 3.1.1 ADMINISTRACIN ) CONTROL DE CAMBIOS C(nt"($e*. &ontrol Dual. E'isten ciertos procesos ue no pueden ser validados o verificados por una actividad posterior. En este caso se re uiere la intervencin con"unta de dos personas antes de consumar la operacin. El con"unto dual se cumple al recabar una segunda firma de autorizacin verificando ue los datos coincidan. &ontroles de Entrada $os datos de entrada deben ser validados lo ms cerca posible del punto de origen, los procedimientos para el mane"o de errores deben colocarse en el lugar apropiado para facilitar el reproceso oportuno y preciso.

 (ane"o de errores de entrada. Debern revisarse los procedimientos de mane"os de errores relacionados con la correccin y retroalimentacin de los datos. Es necesario determinar si los errores son desplegados o listados inmediatamente despus de su deteccin y si stos son claros y fcilmente comprensibles. )odos los datos rec#azados debern ser grabados en forma automtica y supervisados antes de volver a iniciar su proceso &ontroles de Procesamiento. El procesamiento de los datos por programas de aplicacin individuales, deben ser controlados para asegurar ue ning*n dato es agregado, removido o alterado durante el proceso. !e deber incluir: +ue e'istan pistas de auditoria para permitir la reconstruccin de arc#ivos de datos, cuando se re uiera. Probar si los datos pueden ser rastreados #asta el punto de origen. Determinar si el Departamento de !istemas de ,nformacin tiene un grupo de control ue lleve a cabo actividades como las siguientes: &ontrol de las actividades de las terminales ,nvestigar cual uier desviacin del operador respecto a los procesos establecidos Asegurarse ue los reinicios se realicen adecuadamente. -alance de los controles de lote y de registros procesados )otales de control Deben revisarse las condiciones o medidas incorporadas en los programas para la integridad de los procesos previendo lo siguiente: +ue impida la entrada de datos por consola +ue se identifi uen los datos a ser procesados +ue los programas verifi uen las eti uetas internas +ue las eti uetas finales incluyen cifras de control $os conceptos se.alados tambin son aplicables para a uellas transacciones ue #ayan sido rec#azadas por el sistema. Para lograr lo anterior, es conveniente au'iliarse de la misma computadora detectando los errores de procesamiento. Por esto es necesario. Determinara u facilidades de #ard/are y utiler0as de soft/are estn disponibles para utilizarse en la deteccin y correccin de errores. 1erificar ue la contabilidad de los y traba"os y los reportes de error incluyan: 2ombre y n*mero del traba"o

 )iempo de e"ecucin, inicio y final. 3azn de terminacin (ensa"es de error )odas las interrupciones y participacin del operador 1erificar si el sistema genera reportes por e'cepcin ue incluyan: ,ntentos no autorizados de acceso a arc#ivos restringidos E'ceso de tiempo de corridas de traba"o 3eproceso de aplicaciones de produccin )erminaciones anormales y errores detectados en las estad0sticas de control C(nt"($e* de *!$id!. $os reportes de salida deben ser revisados en cuanto a su racionalidad y distribucin oportuna a los destinatarios autorizados. $os reportes de salida beben ser revisados en cuanto a forma e integridad, determinando si #an sido establecidos y documentados los procedimientos relacionados con el balanceo y conciliaciones de salidas. Algunas de las validaciones son: Determinar si toda la informacin necesaria esta disponible en los reportes, si todas la e'cepciones son reportadas, si incluyen todas las e'cepciones posibles y si los totales son e'actos. Es necesario tambin en con"uncin con los usuarios verificar si: $os reportes ue reciben son relevantes $a informacin ue incluye es e'acta, confiable y *til )iene necesidades de informacin no incluidas E'isten reportes ue no son de utilidad )ienen sugerencias en cuanto a su frecuencia y contenido $as salidas deben ser balanceadas contra los totales de control, revisando los procedimientos para esto. $a redistribucin de las salidas deben estar de acuerdo con las instrucciones escritas revisando: a. !u integridad y e'actitud b. (odificaciones e instrucciones iniciales c. E'istencia de las listas de distribucin por aplicacin actualizada. d. 1erificar si estas listan incluyen4 frecuencia del reporte, distribucin de los originales y copia e instrucciones especiales 5si es el caso6. e. Deben e'istir procedimientos para reportar y controlar errores determinados en las salidas, incluyendo la comunicacin con el rea responsable de solucionarlos f. $o ideal es establecer una bitcora ue se.ale: g. ,dentificacin del problemas registrando la fec#a y #ora en ue se contacto al personal de sistema. #. $a accin correctiva ue se tomo. i. 7ec#a y #ora en ue se corrigi y responsable de esto.

". &ausas y tendencias de los errores de salida 8. Procedimiento para garantizar ue los errores son corregidos en su totalidad. C(nt"($e* !d'ini*t"!ti+(* !eparacin de funciones. El auditor deber preocuparse por ue e'ista una adecuada separacin de funciones para prevenir un mal uso de la computadora e inclusive fraudes en la utilizacin de los arc#ivos, recursos materiales o documentos negociables. Esto incluye el grupo de procesamiento de datos as0 como las relaciones entre estos y el grupo de usuarios C(nt"($e* de A',iente & *e-."id!de* F/*i !*

Estos controles estn orientados al ob"etivo se.alado de continuidad del servicio y depende en gran parte de las condiciones ambientales e'ternas e internas como: planta de energ0a propia, temperatura y #umedad controlada Estos controles ambientales no slo son aplicables en el rea de la computadora, sino tambin en la biblioteca. El cumplimiento de estos ob"etivos se pueden asegurar utilizando: a. 3egistro de los termmetros localizados en el centro. b. 3egistro de indicadores de #umedad c. 3egistro de indicadores de volta"e d. 3evisin de pruebas peridicas de los procedimientos para operar con la planta au'iliar de energ0a elctrica e. 3evisiones de los resultados de las condiciones ue guardan los sistemas de proteccin contra fuego. 9tra rea de intervencin del auditor en informtica est relacionada con los dos aspectos siguientes relacionados con seguridades f0sicas. Proteccin del e uipo de cmputo, programas y arc#ivos y el acceso no autorizado a informacin confidencial o al programa. $os controles generales para seguridad f0sica incluyen: a. Acceso controlado para prevenir entradas no autorizadas al rea de operacin, biblioteca y lugares en donde se encuentren documentos negociables. b. Procedimientos de autorizacin y criterio para limitar las entradas de personal a reas restringidas c. Procedimientos autorizacin y criterios para la conservacin del contenido de la biblioteca. d. Acceso en l0nea a la informacin Para evaluar los controles de seguridad f0sica es posible utilizar guias de auditor0a tomadas en literatura e'istentes, adecuadas a las particularidades de la organizacin.

)ambin es importante evaluar dentro de esta etapa otros factores ue puedan representar riegos para el centro de procesos. $as siguientes son algunas de las medidas de seguridad 70sica recomendables en un &entro de &omputo4 ue incorporan aspectos relativos a la propia construccin y ubicacin. U,i ! i0n !e refiere al lugar definido para operar el centro de computo en donde tendremos ue validar, entre otras cosas: 7acilidad de acceso Alimentacin de Energ0a elctrica :ndice de delincuencia Empresas vecinas 5altamente contaminantes6 :ndice de fenmenos naturales: !ismos y tormentas En esta parte es importante seleccionar, a travs de un estudio adecuado, el lugar ideal para recibir las instalaciones del &entro de Procesos. Podemos decir ue son pocas las instalaciones en las ue se tom en cuenta este factor. C(n*t". i0n 2os referimos a los materiales utilizados en la edificacin del &entro de Procesos ue permitan entre otras cosas: a. !oportar un ata ue directo desde el e'terior b. +ue no incluyan en la medida de lo posible materiales ue puedan originar un incendio c. +ue no e'istan ventanas al e'terior d. +ue se incluyan bvedas resistentes al calor e. ,ncorporacin de barreras para cortar o aislar un incendio 9tro aspecto importante cundo #ablamos de la construccin, es el concepto de anonimato, ue nos se.ala ue no es conveniente identificar claramente el contenido de nuestro edificio, de tal suerte ue no sea fcil se.alar el local como la parte ms vulnerable de la organizacin. C(nt"($e* de ! e*( )rata de los dispositivos de seguridad, ue atienden el acceso al rea del &entro de Proceso e incluyen: a6 ;uardia de seguridad con entrenamiento adecuado. b6 &erraduras de combinacin y5o6 magnticas c6 &ircuito cerrado de televisin 5incluye el acceso principal y reas de operacin6 d6 Puertas blindadas ba"o el sistema de doble puerta e6 3egistro de visitantes f6 ;afetes de identificacin g6 !istemas integrales de control a travs de microcomputadoras

[ASI]
3.1.1 CLASIFICACION DE DATOS E INFORMACION P"(2ied!de* de $! Inf("'! i0n 3.e 2"(te-e $! Se-."id!d Inf("'4ti ! $a !eguridad ,nformtica debe vigilar principalmente las siguientes propiedades: Identificacin Es un cdigo o contrase.a ue se emita aun usuario autorizado de la red, ue debe mantener la confiabilidad de ello para ingresar a la red, los usuarios solo re uieren utilizar su ,D o contrase.a. Privacidad $a informacin debe ser vista y manipulada *nicamente por uienes tienen el derec#o o la autoridad de #acerlo. %n e"emplo de ata ue a la Privacidad es la Divulgacin de ,nformacin &onfidencial. Integridad $a informacin debe ser consistente, fiable y no propensa a alteraciones no deseadas. %n e"emplo de ata ue a la ,ntegridad es la modificacin no autorizada de saldos en un sistema bancario o de calificaciones en un sistema escolar. Disponibilidad $a informacin debe estar en el momento ue el usuario re uiera de ella. ,mplica asegurar ue los usuarios leg0timos tengan acceso a la informacin y a los recursos permitidos .%n ata ue a la disponibilidad es la negacin de servicio 5En ,ngls Denial of !ervice o Do!6 o <tirar= el servidor Confiabilidad ,mplica asegurar la informacin no sea revelada a personas no autorizadas

3.1.3 PRACTICA ) POL5TICAS RELATIVAS AL PERSONAL

$a mayor0a de las instituciones #an tomado conciencia de la creciente dependencia en la integridad, estabilidad y lealtad del personal y dedican mayor atencin a esta rea de la seguridad en computacin. $a contratacin de personal inapropiado para puestos de gran responsabilidad, como las operaciones y el control, no es raro y necesariamente aumenta el riesgo de accidentes. E'iste el riesgo de ue se dependa de manera e'cesiva en esta rea, sobre todo en las instalaciones de anta seguridad, donde indagar acerca de los antecedentes del personal es prctica de rutina. Estas instalaciones siempre son un blanco de ata ue4 la prevencin de cual uier intento al respecto slo la garantizar un filtro de seguridad a toda prueba. >. P9$:),&A! DE &92)3A)A&,?2 &asi todas las instituciones cuentan con un procedimiento de contratacin bien estructurado y de rutina4 sin embargo, en muc#os casos ste se aplica con demasiada fle'ibilidad. Desde el punto de vista de la seguridad, las caracter0sticas ms importantes de una pol0tica de contratacin son: 1erificacin de referencias y antecedentes de seguridad Pruebas psicolgicas E'menes mdicos

$a verificacin de las referencias normalmente se pasa por alto. (uc#as empresas se muestran renuentes a proporcionar referencias *tiles, debido a razones legales o de otra 0ndole. Esto representa ciertas dificultades para evaluar la aceptabilidad de un solicitante.

3.1.6 METODOLOGIAS ) 7ERRAMIENTAS PARA LA ADMINISTRACIN DE RIESGOS EN GENERAL Apuntes de la Profra. Nacira Mendoza Pinto CUANTITATIVA
%tiliza modelos matemticos. Proporciona una cifra <"ustificante= para cada contramedida. Estimacin de prdidas Potenciales solo si son e'actas. (etodolog0as estndares. Dif0ciles de mantener o modificar. Dependencia de un profesional.

CUALITATIVA8SUBJETIVA
Enfo ue a lo amplio ue se desee. Plan de traba"o fle'ible y creativo ,dentificacin de eventos ,ncluye factores tangibles. Depende de la #abilidad y calidad del personal. Puede e'cluir riesgos significantes 5c#ec8 list6. ,dentificacin de eventos reales ms claros. Dependencia de un profesional.

&uestionario

Etapa >

,dentificacin de los riesgos

Etapa D

&lculo del impacto

Etapa E

,dentificar los controles y el costo

Etapa C

!imulaciones @ u pasa si...A &reacin de los informesBreportes

Etapa F

Etapa G

ACTIVIDAD EN INTERNET

Air !mart;ate &yber !noop ,Analyst ,nternet &leanup ,nternet (anager ,nternet 3esource (anager ,nternet 3is8 (anager 2et7ocus !ystem Activity (anager Heb !py Heb )rends 7ire/all !uite Hin;audian ANALISIS DE RED AbendIA,D 7ault (anager Activie/ )rouble (anager Aim,) -ind1ie/ &entennial Discovery Enterprise !ecurity (anager Event $og (onitor E'pert 9bserver Jane !ecurity Analyst $in8 Analyst 2) (anage 2)3ama !entinel !oft/are !ecurity !P+uery )ripHire Heb)rends 2et/are (anagement ANTI ESPIONAJE AdI!earc# Anticotillas Plus 7las#$oc8 ;uideon Koo8 Protect iProtect P& !ecurity ;uard 3ainbo/ Diamond ,ntrusion Detector )op !ecret 9ffice ANTI SPAM

!pam -uster !pam8iller !pammer!lammer ANTI VIRUS Anti1iral )ool8it Pro A1)ro"an A1L -ootProtect &ompucilina e!afe Protect 7I!ecure 7obiasoft ;uardian i3is Antivirus ,noculate ,n1ircible Antivirus Jaspers8y AntiI1irus (A(!oft 2orman )#underbyte 1irus &ontrol 2orton Antivirus Panda Antivirus Platinum P&Icillin Protector Plus +uic8 Keal 3A1 Anti1irus !op#os )#e &leaner )ro"an Defense !uite 1ir,) 1iru!afe Heb 1irus!can ARRAN9UE Access Denied -oot$oc8er -oot !entry (ind!oft &ustody !creen$oc8 !entry !&%A !ecurity )#under;uard L$oc8 AUDITORIA

7ileAudit $og (onitor !ecurity&#arge BAC:UP M-ac8up Adsm Arc!erve Auto!ave -ac8up A)( 2et/or8 -ac8up E'ec &onnected 9nline -ac8up DataJeeper Data 3ecovery for 2etHare Discvie/ Drive ,mage ,mage&ast 2et-ac8up 2orton ;#ost 2ovabac8up 9pen 7ile (anager 3eplica 3etrospect !urvive,) %ltrabac BLO9UEO ) RESTRICCION Absolute !ecurity !ecure,t Pro Anfibia !oft Des8man Device$oc8 (e 3edKand Pro !tormHindo/ (indsoft 3estrictor (ind!oft ;uardian!#ip Hindo/s !ecurity 9fficer Des8top!#ield !martNO P& 3estrictor )rue7ace Ace&ontrol &D$oc8 P& $oc8 Des8man ;!NO Access &ontrol

Hin7ile 1ault $oc8 n !afe &laspDPPP ,!! &omploc8 (icro(anager (aus)rap &#ildProof !ecurityHizard !ystem !ecurity Des8top $oc8er >.P Hin$oc8 COO:IES &ac#e Q &oo8ie Has#er &oo8ie &rus#er &oo8ie Pal &yber&lean )#e Hatc#man Hindo/ Has#er CONTRASE;AS Advanced Pass/ord ;enerator $oc8er PPR Pass/ord 3ecovery Aadun Pass/ord Jeeper ,nfo Jeep Planet.Jeeper ELE Protector 3andom Pass/ord ;enerator Pass/ord &orral Pass/ords Asterisco ;uardian 9ffice Pass/ord Pass;uard P/l)ool Pass/ord Plus Pass/ord Po/er &laves Pass/ord )rac8er +Hallet Pass/ord Pro Pass;o Private -oo8mar8s

$oc8Do/n vI;9 %niversal Pass/ord Pass/ord ;enerator (asterPass 9pen Pass H(1ault !oft/are !afe Pass/ord ;uardian !ecret !urfer ePass/ord Jeeper Pass/ord Poc8et Absolute !ecurity CONTROL REMOTO A(, !erver (anager &ontrol,) &o!ession $ap$in8 Jane !ecurity (onitor 2et9p 2et!upport (anager PcAny/#ere Pro'y 3eac#9ut Enterprise 3emote Administrator !erver)ra8 )imbu8tu Pro )rend)ra8 DETECTORES DE AGUJEROS DE SEGURIDAD &#ec8 Point 3eal!ecure Kac8ers#ield S ,ntruder Alert $an;uard 2et/or8 !canner $ucent 3eal!ecure 2etPro/ler 2et3econ Pass(an Plus !ecure2et Pro !oft/are Heb)rends !ecurity Analyzer ENCRIPTACION Absolute !ecurity &ryptit

&rypto,dentify Data !afe 7ile&rypto 7ileDis8 Protector 2ova$oc8 3!A -!afe !afe;uard $an&rypt !afe!uite 3ealsecure !E&3E)s/eeper !ecure !#uttle )ransport !parta&om &ryptogram !#y7ile Kot&rypt Jrypton Encoding !ystem 7ile Protector ,nvisible !ecrets A-,I &9DE3 ,nterscope -lac8-o' )EA&rypt Lcrypto Data&loa8 (ind!oft !#elter Enigma -est&rypt P;P Asist Tumblezilla 7older ;uard !ecurity -9L Enigma NO Easycrypto &ombo 2orton !ecret !tuff )e't Hatc#dog Emerald Encryption ,nfo!afe P&!afe +uic8:&3UP) Encrypt ,)V 7ly&rypt &ryp)e't Encrypted (agic 7olders !ecurity(anager 2eocrypt %nbrea8able Encryption )#e DE!L %tility H,2WAP !E&%3E

)#under&rypt KideitV Pro &odedDrag Easy &ode AutoEncrypt &ryptoman Pass/or' Jremlin ENCRIPTACION COMUNICACIONES -bcom 1P2 7I!ecure 1P2 ;o !ecure ;uardianP39 1P2 ,ntel 1P2 Jrypto;uard $A2 and 1P2 Po/er 1P2 !afe;uard 1P2 !ide/inder !mart;ate !onicHall Pro 1P2 > ,nternet ;ate/ay 1P2Hare !ystem ESPIONAJE El Esp0a 9mni uad Detective P& !py !nooper AU !py 3emote1ie/ Hatc#er Jeyboard (onitor !pyAny/#ere (y;uardian !tealt# Activity &anary Event&ontrol JeyJey Des8top !urveillance !tealt# Jeyboard ,nterceptor -oss Every/are Apps)ra8a Date Edit ,ntra!py

D!pyV Hin;uardian Jey $ogger Pass/ord 3evealer Activity (onitor !ystem !py Alot (onica !pector !tealt# $ogger A!&,, !py !upervision&am FILTROS PARA INTERNET &ommand1ie/ (essage ,nspector &yber Attac8 Defense !ystem &yber !entinel Digital ,D eI!/eeper ;o !ecureV (ailI;ear (ail!/eeper (ail1ault Predator ;uard PrivateI, 3eal !ecure !#ields %P !igaba!ecure !mart7ilter HE-s/eeper Horld !ecure (ail FIRE<ALLS Altavista 7ire/all -lac8,ce &#ec8Point Elron 7ire/all 7ireProof 7ire/all J,) !ystem ;uardianP39 7ire/all S ;uard,) Kac8)racer (ind!oft 7ire/all 2eoHatc# 2etma' 7ire/all 2orton Personal 7ire/all 3aptor 7ire/all

!ecure &onnect 7ire/all !martHall !ygate Personal 7ire/all )iny Personal 7ire/all Hatc#guard $ivesecurity !U! Hin3oute Pro WoneAlarm Pro &yberArmor GESTION DE ACCESOS Absolute Protect Access (anager !econdary 3adius -order Protector ;uardianPro Aut#entication Kands 9ff Personal iJey 2avis 3adius Access &ontrol Palladium !ecure 3emote Access PrivateELE !teelI-elted 3AD,%! 3!A !ecur,D Hin7uel Azza Air -us cDPPP &netBD Defender EIW $oc8 ,dentity Protector $oc8 Protector 2avis Access Panda !ecurity Personal Protector !afe;uard easy !afeHord Plus !mart;uard !mart$oc8 %ser$oc8 1icin,D MANTENIMIENTO Dis8eeper (ore !pace Partition &ommander Partition (agic !ecurity !etup

!ystem &ommander Hindo/s &ommander OCULTACION Hin!#red DonXt PanicV &amouflage -oss -lac8-oard 7ileHipe HebPass/ord ,nvisible 7iles Kidden R !entryNO Hipe&lean RECUPERACION DE DATOS &onfig!afe Des8top &ore!ave Easy 3ecovery Easy 3estore e!upport ;o-ac8 ,nstant 3ecovery Picture)a8er Personal Edition !econd&#ance S !ystem !naps#ot $ost Q 7ound !#redder %ndelete SEGURIDAD COMERCIO ELECTRONICO &ommerce Protector &rypto!/ift e)rust 2et!ecure 3!A Jeon !A7Esuite Decisions !afety 2et SUITES DE SEGURIDAD INFORMATICA e!afe Des8top 7I!ecure Hor8station !uite (cafee 9ffice DPPP Pro

2et(a' Professional !uite 2orton ,nternet !ecurity DPPP 9bserver !uite 9ntrac8 !ystem!uite DPPP !ecurIAll

3.1.= ROLES ) RESPONSABILIDADES 7ACIA LA SEGURIDAD INFORMATICA Apuntes de la Profra. Nacira Mendoza Pinto

CARGO Direccin B Alta ;erencia

;erencia D-A 9peracin Analista y programadores 9peradores %suario 7inal

FUNCIN 8 OBLIGACIN I)oma decisiones de pol0ticas de seguridad I;arantiza planes de contingencia Aplicar los planes de seguridad Administra el nivel lgico 5datos6 Administra y organiza los recursos f0sicos 5soporte6 &rea, desarrolla e implanta sistemas E'plota el sistema de informacin I&apturar IEnviar informacin ue genera el sistema

AREAS RESTRINGIDAS 2inguna

D-A 2inguna D-A D-AB 9peracin D-A B 9peracin B Desarrollo D-AB9peracinBDesarrolloB 9peradores

3.1.> CONCIENTI?ACIN DE LAS EMPRESAS !on los directivos, "unto con los e'pertos en tecnolog0as de la informacin, uienes deben definir los re uisitos de seguridad, identificando y priorizando la importancia de los distintos elementos de la actividad realizada, con lo ue los procesos ms importantes recibirn ms proteccin. $a seguridad debe considerarse como parte de la operativa #abitual, no como un e'tra a.adido. 3.1. E@PLICACIN CASO REAL DE UNA ORGANI?ACIN
Ejemplo 4: amenaza no intencionada (desastre natural) La organizacin XYZ no tiene sistemas de deteccin y proteccin contra incendios en la sala de servidores. Un administrador de los sistemas de la organizacin deja un par de manuales encima del aparato de aire acondicionado. Durante la noche el acondicionador de aire se caliente y comienza un incendio que arrasa la sala de servidores y un par de despachos.

3.3 FUNCIN DE SEGURIDAD INFORMTICA Apuntes de la Profra. Nacira Mendoza Pinto !u funcin es proteger y administrar todos los recursos de cmputo ue accesan los usuarios. 3.3.1 OBJETIVOS Apuntes de la Profra. Nacira Mendoza Pinto Proteger el patrimonio informtico

Establecer los controles adecuados 1igila o Disponibilidad del rea o ,ntegridad o Privacidad Administra o Auditor0a o Autenticidad y autorizacin Previene desastres, ya ue elabora planes de contingencia.

3.3.1 ESTRUCTURA ORGANICA Apuntes de la Profra. Nacira Mendoza Pinto

Direccin de !eguridad ,nformtica

E uipo de Evaluacin de Da.os

E uipo de &ontingencia Plan de 3ecuperacin

3elaciones P*blicas

Para conformar un rea de seguridad informtica se necesita: Plan estratgico de seguridad 5normas y pol0ticas de la empresa6 $imitaciones de seguridad 5vulnerabilidad6 E uilibrio entre controles y riesgos Evaluacin permanente de riesgos &ompromiso con pol0ticas de seguridad Divisin de responsabilidades !istema de control interno Asignacin de responsabilidades de seguridad !ustitucin del personal clave

3.3.3 FUNCIONES ) RESPONSABILIDADES $a seguridad en informtica tiene como funcin el establecer y vigilar ue se cumplan los controles ue coadyuvan al procesamiento de informacin completo, e'acto y oportuno, evitando riesgos de perdida y fugas de informacin en el mbito informtico En el campo de seguridad se presentan nuevos retos a las empresas me'icanas y de manera especial a las ue residen en la &iudad de ('ico. !u problemtica #a ido ampliando en los *ltimos a.os con los problemas de contaminacin en general y de los desastres. En la actualidad no es suficiente ue la empresa se restrin"a a los campos de #igiene y seguridad de traba"o o ad uiera una pliza de seguros como #a sido costumbre. En lugar de soluciones parciales y aisladas, a#ora se tiene ue buscar la solucin integral y ptima para lograr los siguientes ob"etivos principales: (e"orar la seguridad y salvaguardar al personal y adems recursos de la empresa. Prevenir los desastres, a travs de la reduccin de los riegos Asegurar los preparativos para atender las emergencias El procesamiento de datos es una funcin de apoyo al negocio. Por lo tanto cual uier tipo de amenaza a la seguridad de la empresa o cual uier tipo de organizacin lo es tambin para la seguridad de las instalaciones de cmputo. !on necesarias seguridades para proteger el e uipo contra sabota"e, incendio, e inundacin. El me"or medio para evitar da.o deliberado es limitar el acceso a la instalacin al personal autorizado. $os e'tra.os deben uedar le"os de las instalaciones y el personal deber ser investigado cuidadosamente antes de contratrsele. $a gerencia deber estar siempre alerta ante la posibilidad de da.o por un empleado descontento. 7recuentemente la localizacin de la instalacin de computacin se conserva realmente en secreto. [ASI] 3.3.A INTERRELACIN CON LA AUDITORIA INFORMATICA $a Auditoria de !istemas es el con"unto de tcnicas ue permiten detectar deficiencias en las organizaciones de informtica y en los sistemas ue se desarrollan u operan en ellas, incluyendo los servicios e'ternos de computacin, ue permitan efectuar acciones preventivas y correctivas para eliminar las fallas y carencias ue se detecten.

!e verifica la e'istencia y aplicacin de todas las normas y procedimientos re ueridos para minimizar las posibles causas de riesgos tanto en las instalaciones y e uipos, como en los programas computacionales y los datos, en todo el mbito del !istema: usuarios, instalaciones, e uipos. $as ,nstituciones efect*an Auditorias de !istemas, con la finalidad de asegurar la eficiencia de las organizaciones de informtica, as0 como la confiabilidad y seguridad de sus sistemas. [ASI]