AUDITORIA EN INFORMTICA

1. CONCEPTO:
La auditora informtica es un proceso llevado a cabo por
profesionales especialmente capacitados para el efecto, y que consiste en
recoger, agrupar y evaluar evidencias para determinar si un sistema de
informacin salvaguarda el activo empresarial, mantiene la integridad de
los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones
establecidas. Permiten detectar de forma sistemtica el uso de los recursos
y los flujos de informacin dentro de una organizacin y determinar qu
informacin es crtica para el cumplimiento de su misin y objetivos,
identificando necesidades, duplicidades, costes, valor y barreras, que
obstaculizan flujos de informacin eficientes. En si la auditoria informtica
tiene 2 tipos las cuales son:
AUDITORIA INTERNA: es aquella que se hace adentro de la empresa; sin
contratar a personas de afuera.
AUDITORIA EXTERNA: como su nombre lo dice es aquella en la cual la
empresa contrata a personas de afuera para que haga la auditoria en su
empresa. Auditar consiste principalmente en estudiar los mecanismos de
control que estn implantados en una empresa u organizacin,
determinando si los mismos son adecuados y cumplen unos determinados
objetivos o estrategias, estableciendo los cambios que se deberan realizar
para la consecucin de los mismos. Los mecanismos de control pueden ser
directivos, preventivos, de deteccin, correctivos o de recuperacin ante
una contingencia.

2. TIPOS:
Dentro de la auditora informtica destacan los siguientes tipos (entre otros):
Auditora de la gestin: la contratacin de bienes y servicios,
documentacin de los programas, etc.
Auditora legal del Reglamento de Proteccin de Datos: Cumplimiento legal
de las medidas de seguridad exigidas por el Reglamento de desarrollo de
la Ley Orgnica de Proteccin de Datos.
Auditora de los datos: Clasificacin de los datos, estudio de las
aplicaciones y anlisis de los flujogramas.
Auditora de las bases de datos: Controles de acceso, de actualizacin, de
integridad y calidad de los datos.
Auditora de la seguridad: Referidos a datos e informacin verificando
disponibilidad, integridad, confidencialidad, autenticacin y no repudio.
Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin,
evitando ubicaciones de riesgo, y en algunos casos no revelando la
situacin fsica de esta. Tambin est referida a las protecciones externas
(arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
Auditora de la seguridad lgica: Comprende los mtodos de autenticacin
de los sistemas de informacin.
Auditora de las comunicaciones. Se refiere a la auditoria de los procesos
de autenticacin en los sistemas de comunicacin.
Auditora de la seguridad en produccin: Frente a errores, accidentes y
fraudes.

3. EVALUACIN DE:

La estructura orgnica:
La estructura orgnica es la forma en que estn
cimentadas y ordenadas las unidades administrativas de una institucin,
organizacin u rgano y la relacin que guarda entre s, dicho de otra manera
se refiere a la forma en que se dividen, agrupan y coordinan las actividades de
la empresa u organizacin en cuanto a las relaciones entre el o los gerentes y
los colaboradores. Para disear la estructura orgnica, habr que tener en
cuenta los factores como es la magnitud, giro y necesidades de la empresa,
pues en base a ellos se determinarn las unidades administrativas, los medios
humanos necesarios y la asignacin de funciones a los mismos.
La estructura orgnica es el cuerpo seo de la organizacin, unidad
administrativa, rea, u oficina; en este caso del rea de recursos humanos,
estar conformada por rganos como de direccin, asesoramiento, apoyo y
lnea, as como por unidades administrativas que tienen que ver con dicha
funcin, como por ejemplo: jefatura o direccin, registro de personal, sueldos y
salarios, capacitacin, evaluacin, higiene y seguridad, entre otros.
Generalmente la estructura orgnica del rea de recursos humanos, como se
indicaba lneas arriba, estar conformada por los distintos rganos y unidades
administrativas, las mismas que son establecidas, en funcin de la naturaleza,
tamao y, necesidad de la empresa, pudindose establecer en forma nominal y
grfica.
Para el caso del establecimiento de una estructura orgnica de la unidad
administrativa de recursos humanos dentro de las empresas, debe
considerarse el tipo y tamao de empresa, decimos esto porque las empresas
pequeas mayormente tienen a una persona encargada de realizar las
principales funciones de personal, en cambio las empresas un poco ms
grandes, debe tener un equipo humano con la implementacin y medios
adecuados en esta rea, para dirigir los distintos funciones especializadas de la
administracin de recursos humanos.
De igual manera para establecer la estructura orgnica de la unidad de
recursos humanos, debe considerarse la nomenclatura o nombre de dicha
unidad administrativa, dependiendo lgicamente del tamao de la organizacin,
y de la implementacin interna que se quiere dar, pudiendo denominarse
oficina, departamento, divisin, rea, seccin, gerencia o direccin de recursos
humanos.

Los recursos humanos:
Las expectativas de los ejecutivos, la creciente
competencia a nivel nacional e internacional y la creciente diversidad en la
fuerza de trabajo, constituyen desafos para el administrador de los recursos
humanos de una organizacin. Los directores de corporaciones esperan que
sus departamentos de personal contribuyan en aspectos como la mejora de la
productividad, la planeacin de la sucesin y el cambio en la cultura
corporativa.
Adems de contribuir al objetivo de incrementar la ventaja competitiva, el
departamento de personal tambin debe cubrir objetivos de carcter social,
funcional y personal. Los objetivos sociales asumen en parte la forma de
determinadas normativas legales. Los objetivos funcionales aaden una
dimensin profesional y tica a los desafos que enfrenta el administrador de
recursos humanos. Y los objetivos de carcter personal de cada integrante de
la organizacin se hacen ms importantes y complejos a medida que disminuye
la velocidad en el crecimiento demogrfico de la fuerza de trabajo y se
incrementa su diversidad.
El especialista no puede perder la perspectiva global, que subordina al
departamento de recursos humanos al total de la organizacin. Es el triunfo de
la organizacin como un todo y no el del departamento de personal, lo que
constituye la prioridad absoluta. El logro de los objetivos de la organizacin
depende tambin de poder servir a sus integrantes mediante una filosofa
proactiva.
Los departamentos de personal no pueden partir de la base de que cuanto
hacen est bien hecho. De hecho, incurren en errores y ciertas polticas se
hacen anacrnicas. Al verificar sus actividades, el departamento de personal
puede detectar problemas antes de que se conviertan en serios obstculos.
Una evaluacin de las prcticas del pasado y las polticas actuales puede
revelar enfoques que ya no corresponden a la realidad y que necesitan
cambiarse para ayudar al departamento a cumplir mejor su tarea de enfrentar
desafos futuros.
La evaluacin de las prcticas anteriores y la investigacin para identificar
mejores procedimientos tiene importancia por tres razones:
El trabajo que desempee el departamento de personal tiene
importancia por las implicaciones legales que conlleva para la empresa.
Los costos que genera la administracin del personal son muy
significativos.
Las actividades de la administracin del personal guardan una relacin
directa con la productividad de la organizacin y la calidad del entorno
laboral.

Beneficios que aporta la auditoria de la administracin de recursos humanos:

Se identifican las contribuciones que hace el departamento de personal
a la organizacin. Se mejora la imagen profesional del departamento de
personal.
Se aliena al administrador del personal a asumir mayor responsabilidad
y actuar en un nivel ms alto de profesionalismo.
Se esclarecen las responsabilidades y los deberes del departamento.
Se facilita la uniformidad de las prcticas y las polticas.
Se detectan problemas latentes potencialmente explosivos.
Se garantiza el cumplimiento de las disposiciones legales.
Se reducen los costos en recursos humanos mediante prcticas
mejoradas.
Se promueven los cambios necesarios en la organizacin.

Los Sistemas:
Los progresos realizados en un sistema deben ser
medidos o evaluados para conocer las deficiencias y problemas que ste
presenta. Aunque una evaluacin cualitativa puede resultar til en las etapas
iniciales del desarrollo del sistema, medidas cuantitativas bajo unas mismas
condiciones resultan de vital importancia para ver el progreso real del sistema y
compararlo consigo mismo o con otros. Los nmeros no aportan informacin si
se desconoce de dnde proceden, es decir, qu representan.
La elaboracin de sistemas debe ser evaluada con mucho detalle, para lo cual
se debe revisar si existen realmente sistemas entrelazados como un todo o
bien si existen programas aislados. Otro de los factores a evaluar es si existe
un plan estratgico para la elaboracin de los sistemas o si se estn
elaborando sin el adecuado sealamiento de prioridades y de objetivos.
El plan estratgico deber establecer los servicios que se prestarn en un
futuro contestando preguntas como las siguientes:
Cules servicios se implementarn?
Cundo se pondrn a disposicin de los usuarios?
Qu caractersticas tendrn?
Cuntos recursos se requerirn?

Evaluacin de desarrollo de sistemas:
Se debern considerer algunos
aspectos, entre ellos:
Proceso distribuido.
El proceso de planeacin de sistemas.

Las caractersticas que deben evaluarse en los sistemas:
Dinmicos.
Estructurados.
Integrados.
Accesibles.
Necesarios.
Comprensibles.
Oportunos.
Funcionales.
Estndar.
Modulares.
Jerrquicos.
Seguros.
nicos

Adentrndonos en el concepto de Evaluacin de Proyectos de Desarrollo, lo
podemos definir como un proceso que tiene como objetivo determinar la
eficacia y eficiencia con que han sido utilizados los recursos destinados para
cierta actividad, nos sirve para detectar errores y poder hacer correcciones que
garanticen el cumplimiento de las metas y/o objetivos, un sistema de
evaluacin se puede aplicar antes, durante y despus de las actividades
desarrolladas esto depender de los esquemas evaluativos de cada institucin
u organizacin financiadora.

Los equipos:
Capacidades
Utilizacin
Nuevos Proyectos
Seguridad fsica y lgica
Evaluacin fsica y lgica
Controles administrativos en un ambiente de Procesamiento de Datos: La
mxima autoridad del rea de Informtica de una empresa o institucin debe
implantar los siguientes controles que se agruparan de la siguiente forma:
1.- Controles de Preinstalacin:
Hacen referencia a procesos y actividades
previas a la adquisicin e instalacin de un equipo de computacin y
obviamente a la automatizacin de los sistemas existentes.

Objetivos:
Garantizar que el hardware y software se adquieran siempre y cuando
tengan la seguridad de que los sistemas computarizados proporcionaran
mayores beneficios que cualquier otra alternativa.
Garantizar la seleccin adecuada de equipos y sistemas de computacin
Asegurar la elaboracin de un plan de actividades previo a la instalacin.

Acciones a seguir:
Elaboracin de un informe tcnico en el que se justifique la adquisicin
del equipo, software y servicios de computacin, incluyendo un estudio
costo-beneficio.
Formacin de un comit que coordine y se responsabilice de todo
el proceso de adquisicin e instalacin
Elaborar un plan de instalacin de equipo y software (fechas,
actividades, responsables) el mismo que debe contar con la aprobacin
de los proveedores del equipo.
Elaborar un instructivo con procedimientos a seguir para la seleccin y
adquisicin de equipos, programas y servicios computacionales. Este
proceso debe enmarcarse en normas y disposiciones legales.
Efectuar las acciones necesarias para una mayor participacin de
proveedores.
Asegurar respaldo de mantenimiento y asistencia tcnica.

2.- Controles de organizacin y Planificacin:
Se refiere a la definicin clara
de funciones, lnea de autoridad y responsabilidad de las diferentes unidades
del rea PAD, en labores tales como:
Disear un sistema
Elaborar los programas
Operar el sistema
Control de calidad
Se debe evitar que una misma persona tenga el control de toda una operacin.

Acciones a seguir:
La unidad informtica debe estar al mas alto nivel de la pirmide
administrativa de manera que cumpla con sus objetivos, cuente con el
apoyo necesario y la direccin efectiva.
Las funciones de operacin, programacin y diseo de sistemas deben
estar claramente delimitadas.
Deben existir mecanismos necesarios a fin de asegurar que los
programadores y analistas no tengan acceso a la operacin
del computador y los operadores a su vez no conozcan la
documentacin de programas y sistemas.
Debe existir una unidad de control de calidad, tanto de datos de entrada
como de los resultados del procesamiento.
El manejo y custodia de dispositivos y archivos magnticos deben estar
expresamente definidos por escrito.
Las actividades del PAD deben obedecer a planificaciones a corto,
mediano y largo plazo sujetos a evaluacin y ajustes peridicos "Plan
Maestro de Informtica"
Debe existir una participacin efectiva de directivos, usuarios y personal
del PAD en la planificacin y evaluacin del cumplimiento del plan.
Las instrucciones deben impartirse por escrito.

3.- Controles de Sistema en Desarrollo y Produccin:
Se debe justificar que los
sistemas han sido la mejor opcin para la empresa, bajo una relacin costo-
beneficio que proporcionen oportuna y efectiva informacin, que los sistemas
se han desarrollado bajo un proceso planificado y se encuentren debidamente
documentados.

Acciones a seguir:
Los usuarios deben participar en el diseo e implantacin de los sistemas pues
aportan conocimiento y experiencia de su rea y esta actividad facilita el
proceso de cambio.
El personal de auditora interna/control debe formar parte del grupo de
diseo para sugerir y solicitar la implantacin de rutinas de control
El desarrollo, diseo y mantenimiento de sistemas obedece a planes
especficos, metodologas estndares, procedimientos y en general a
normatividad escrita y aprobada.
Cada fase concluida debe ser aprobada documentadamente por los
usuarios mediante actas u otros mecanismos a fin de evitar reclamos
posteriores.
Los programas antes de pasar a Produccin deben ser probados con
datos que agoten todas las excepciones posibles.
Todos los sistemas deben estar debidamente documentados y
actualizados. La documentacin deber contener:
o Informe de factibilidad.
o Diagrama de bloque.
o Diagrama de lgica del programa.
o Objetivos del programa.
o Listado original del programa y versiones que incluyan los
cambios efectuados con antecedentes de pedido y aprobacin de
modificaciones.
o Formatos de salida.
o Resultados de pruebas realizadas.
Implantar procedimientos de solicitud, aprobacin y ejecucin de
cambios a programas, formatos de los sistemas en desarrollo.
El sistema concluido ser entregado al usuario previo entrenamiento y
elaboracin de los manuales de operacin respectivos

4.- Controles de Procesamiento:
Los controles de procesamiento se refieren
al ciclo que sigue la informacin desde la entrada hasta la salida de la
informacin, lo que conlleva al establecimiento de una serie de seguridades
para:
Asegurar que todos los datos sean procesados.
Garantizar la exactitud de los datos procesados.
Garantizar que se grabe un archivo para uso de la gerencia y con fines
de auditora
Asegurar que los resultados sean entregados a los usuarios en forma
oportuna y en las mejores condiciones.

Acciones a seguir:
Validacin de datos de entrada previo procesamiento debe ser realizada
en forma automtica: clave, dgito autoverificador, totales de lotes, etc.
Preparacin de datos de entrada debe ser responsabilidad de usuarios y
consecuentemente su correccin.
Recepcin de datos de entrada y distribucin de informacin de salida
debe obedecer a un horario elaborado en coordinacin con el usuario,
realizando un debido control de calidad.
Adoptar acciones necesaria para correcciones de errores.
Analizar conveniencia costo-beneficio de estandarizacin de formularios,
fuente para agilitar la captura de datos y minimizar errores.
Los procesos interactivos deben garantizar una adecuada interrelacin
entre usuario y sistema.
Planificar el mantenimiento del hardware y software, tomando todas las
seguridades para garantizar la integridad de la informacin y el
buen servicio a usuarios.

5.- Controles de Operacin:
Abarcan todo el ambiente de la operacin del
equipo central de computacin y dispositivos de almacenamiento,
la administracin de la cintoteca y la operacin de terminales y equipos
de comunicacin por parte de los usuarios de sistemas on line.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de
Cmputo durante un proceso
Evitar o detectar el manejo de datos con fines fraudulentos por parte de
funcionarios del PAD
Garantizar la integridad de los recursos informticos.
Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos.

Acciones a seguir:
El acceso al centro de computo debe contar con las seguridades
necesarias para reservar el ingreso al personal autorizado.
Implantar claves o password para garantizar operacin de consola y
equipo central (mainframe), a personal autorizado.
Formular polticas respecto a seguridad, privacidad y proteccin de las
facilidades de procesamiento ante eventos como: incendio, vandalismo,
robo y uso indebido, intentos de violacin y como responder ante esos
eventos.
Mantener un registro permanente (bitcora) de todos los procesos
realizados, dejando constancia de suspensiones o cancelaciones de
procesos.
Los operadores del equipo central deben estar entrenados para
recuperar o restaurar informacin en caso de destruccin de archivos.
Los backups no deben ser menores de dos (padres e hijos) y deben
guardarse en lugares seguros y adecuados, preferentemente en
bvedas de bancos.
Se deben implantar calendarios de operacin a fin de establecer
prioridades de proceso.
Todas las actividades del Centro de Computo deben normarse mediante
manuales, instructivos, normas, reglamentos, etc.
El proveedor de hardware y software deber proporcionar lo siguiente:
o Manual de operacin de equipos.
o Manual de lenguaje de programacin.
o Manual de utilitarios disponibles.
o Manual de Sistemas operativos.
Las instalaciones deben contar con sistema de alarma por presencia de
fuego, humo, asi como extintores de incendio, conexiones elctricas
seguras, entre otras.
Instalar equipos que protejan la informacin y los dispositivos en caso de
variacin de voltaje como: reguladores de voltaje, supresores pico, UPS,
generadores de energa.
Contratar plizas de seguros para proteger la informacin, equipos,
personal y todo riesgo que se produzca por casos fortuitos o mala
operacin.

6.- Controles en el uso del Microcomputador:
Es la tarea ms difcil pues son
equipos mas vulnerables, de fcil acceso, de fcil explotacin pero los
controles que se implanten ayudaran a garantizar la integridad y
confidencialidad de la informacin.

Acciones a seguir:
Adquisicin de equipos de proteccin como supresores de pico,
reguladores de voltaje y de ser posible UPS previo a la adquisicin del
equipo
Vencida la garanta de mantenimiento del proveedor se debe contratar
mantenimiento preventivo y correctivo.
Establecer procedimientos para obtencin de backups de paquetes y de
archivos de datos.
Revisin peridica y sorpresiva del contenido del disco para verificar la
instalacin de aplicaciones no relacionadas a la gestin de la empresa.
Mantener programas y procedimientos de deteccin e inmunizacin
de virus en copias no autorizadas o datos procesados en otros equipos.
Propender a la estandarizacin del Sistema Operativo, software utilizado
como procesadores de palabras, hojas electrnicas, manejadores
de base de datos y mantener actualizadas las versiones y
la capacitacin sobre modificaciones incluidas.

Revisin de Centros de Cmputo:
Consiste en revisar los controles en
las operaciones del centro de procesamiento de informacin en los siguientes
aspectos:
1.- Revisin de controles en el equipo:
Se hace para verificar si existen
formas adecuadas de detectar errores de procesamiento, prevenir accesos no
autorizados y mantener un registro detallado de todas las actividades del
computador que debe ser analizado peridicamente.
2.- Revisin de programas de operacin:
Se verifica que el cronograma de
actividades para procesar la informacin asegure la utilizacin efectiva del
computador.
3.- Revisin de controles ambientales:
Se hace para verificar si los equipos
tienen un cuidado adecuado, es decir si se cuenta con
deshumidificadores, aire acondicionado, fuentes de energa continua, extintores
de incendios, etc.
4.- Revisin del plan de mantenimiento:
Aqu se verifica que todos los equipos
principales tengan un adecuado mantenimiento que garantice su
funcionamiento continuo.
5.- Revisin del sistema de administracin de archivos:
Se hace para verificar
que existan formas adecuadas de organizar los archivos en el computador, que
estn respaldados, as como asegurar que el uso que le dan es el autorizado.
6.- Revisin del plan de contingencias:
Aqu se verifica si es adecuado el plan
de recupero en caso de desastre, el cual se detalla mas adelante.

Seguridad:
Generalidades de la seguridad del rea fisica:
Durante mucho tiempo
se considero que los procedimientos de auditora y seguridad era
responsabilidad de la persona que elabora los sistemas, sin considerar que es
responsabilidad del rea de informtica en cuanto a la utilizacin que se le da a
la informacin y a la forma de accesarla y del departamento de auditora
interna en cuanto a la supervisin y diseo de los controles necesarios. La
seguridad del rea de informtica tiene como objetivos:
Proteger la integridad, exactitud y confidencialidad de la informacin
Proteger los activos ante desastres provocados por la mano del hombre y
de actos hostiles
Proteger la organizacin contra situaciones externas como desastres
naturales y sabotajes
En caso de desastre, contar con los planes y polticas de contingencias
para lograr una pronta recuperacin
Contar con los seguros necesarios que cubran las prdidas econmicas
encaso de desastre. Los motivos de los delitos por computadora
normalmente son por:
Beneficio personal
Beneficios para la organizacin
Sndrome de Robn Hood (por beneficiar a otra persona)
Jugando a jugar Auditoria Informtica
Fcil de desfalcar
El individuo tiene problemas financieros
La computadora no tiene sentimientos
El departamento es deshonesto odio a la organizacin
Equivocacin de ego
Mentalidad turbada Se consideran que hay cinco factores que han
permitido el incremento de los crmenes por computadora
El aumento del nmero de personas que se encuentran estudiando
computacin
El aumento del nmero de empleados que tienen acceso a los equipos
La facilidad en los equipos de cmputo
El incremento en la concentracin del nmero de aplicaciones y,
consecuentemente, de la informacin.
En la actualidad las compaas cuentan con grandes dispositivos para
seguridad fsica de las computadoras, y se tiene la idea que los sistemas no
puedan ser violados si no se entra en el centro de cmputo, olvidando que se
pueden usar terminales y sistemas de teleproceso.
Seguridad Lgica y Confidencial:
Se encarga de los controles de acceso
que estn diseados para salvaguardar la integridad de la informacin
almacenada de una computadora, as como controlar el mal uso de su
informacin. Estos controles reducen el riesgo de caer en situaciones adversas.
seguridad lgica se encarga de controlar y salvaguardar la informacin
generada por los sistemas, por el software de desarrollo y por los programas en
aplicacin; identifica individualmente a cada usuario y sus actividades en el
sistema, y restringe el acceso a datos, a los programas de uso general, de uso
especifico, e la redes y terminales. La falta de seguridad lgica o su violacin
puede traer las siguientes consecuencias a la organizacin:
Cambio de los datos antes o cuando se le da entrada a la computadora
Copias de programas y/o informacin
Cdigo oculto en un programa
Entrada de virus
El tipo de seguridad puede comenzar desde una simple llave de acceso
(contraseas) hasta los sistemas ms complicados, pero se debe evaluar que
cuanto ms complicados sean los dispositivos de seguridad ms costosos
resultan. Los sistemas de seguridad normalmente no se consideran la
posibilidad defraude cometida por los empleados en el desarrollo de sus
funciones. Un mtodo eficaz para proteger los sistemas de computacin el
software de control de acceso. Estos paquetes de control de acceso protegen
contra el acceso no autorizado, pues piden al usuario una contrasea antes de
permitirle el acceso a informacin confidencial. El sistema integral de seguridad
debe comprender:
Elementos administrativos
Definicin de una poltica de seguridad Auditoria
Organizacin y divisin de responsabilidades
Seguridad Personal:
Uno de los punto ms importantes a considerar para
poder definir la seguridad de un sistema es el grado de actuacin que puede
tener un usuario dentro de un sistema, ya que la informacin se encuentra en
un archivo normal o en una base de datos, o bien que se posea una
minicomputadora, o un sistema de red. Para esto podemos definir los
siguientes tipos de usuarios:
Propietario.- Es el dueo de la informacin y responsable de sta, y puede
realizar cualquier funcin:
Administrador.- Solo puede actualizar o modificar el software con la debida
autorizacin
Usuario principal.- Esta autorizado por el propietario para hacer
modificaciones, cambios, lecturas y utilizacin de los datos, pero no da
autorizacin para que otros usuarios entren
Usuario de consulta.- Solo puede leer la informacin
Usuario de explotacin.- Puede leer la informacin y usarla para explotacin
de la misma
Usuario de auditora.- Puede usar la informacin y rastrearla dentro del
sistema para fines de auditora Se recomienda que solo exista un usuario
propietario y que el administrador sea una persona designada por la gerencia
de informtica.
SEGURIDAD DE LOS DATOS Y SOFTWARE DE APLICACIN:
Ruta de acceso
El acceso a la computadora no significa tener una entrada sin restricciones.
Limitar el acceso slo a los niveles apropiados puede proporcionar una mayor
seguridad.
Cada uno de los sistemas de informacin tiene una ruta de acceso, la cual
puede definirse como la trayectoria seguida en el momento de acceso al
sistema. Como se ha sealado, un usuario puede pasar por uno o mltiples
niveles de seguridad antes de obtener el acceso a los programas y datos. Los
tipos derestricciones de acceso son:
Slo de lectura
Slo de escritura
Lectura y consulta
Lectura y escritura, para crear, actualizar, borrar, ejecutar o copiar El esquema
de las rutas de acceso sirve para identificar todos los puntos de control que
pueden ser usados para proteger los datos en el sistema.
Software de control de acceso
Este puede ser definido como el software diseado para emitir el manejo de
control y acceso a los siguientes recursos.
Programas de libreras
Archivos de datos
Jobs
Programas de aplicacin
Mdulos de funciones
Utileras
Diccionario de datos
Archivos
Programas
Comunicacin
Controla el acceso a la informacin, grabando e investigando los eventos
realizados y el acceso a los recursos, por medio de identificacin del usuario. El
software de control de acceso tiene las siguientes funciones:
Definicin de usuarios
Definicin de las funciones del usuario despus de accesar el sistema
El software de seguridad protege los recursos mediante la identificacin de los
usuarios autorizados con llaves de acceso, que son archivadas y guardadas
por este software. Algunos paquetes de seguridad pueden ser usados para
restringir el acceso a programas, libreras y archivo de datos; otros pueden
limitar el uso de terminales o restringir el acceso a base de datos. La mayor
ventaja del software de seguridad es la capacidad de proteger los recursos de
acceso no autorizados, incluyendo los siguientes:
Proceso en espera de modificacin por un programa de aplicacin
Acceso por los editores en lnea
Acceso por utileras de software
Acceso a archivos de las base de datos
Acceso a terminales o estaciones no autorizadas
Existen otros tipos de software de control de acceso como son los siguientes:
Sistemas operativos
Manejadores de base de datos
Software de consolas o terminales maestras
Software de libreras software de utileras
Telecomunicaciones
MARA JOS MONTERO ALFARO.