UNIVERSIDAD NACIONAL ABIERTA REA DE INGENIERA CARRERA INGENIERA DE SISTEMAS

TRABAJO PRCTICO ASIGNATURA: SISTEMAS DE INFORMACIN III CDIGO: 338 FECHA DE ENTREGA DE LAS ESPECIFICACIONES AL ESTUDIANTE: A partir de la primera semana de presentacin de pruebas, a travs del asesor de la asignatura. FECHA DE DEVOLUCIN DEL INFORME POR EL ESTUDIANTE: Adjunto a la segunda prueba integral. NOMBRE DEL ESTUDIANTE: GUILLERMO A. SILVEIRA SALAZAR CDULA DE IDENTIDAD: 10.461.164 CENTRO LOCAL: SUCRE CARRERA: 236 NUMERO DE ORIGINALES: 01 FIRMA DEL ESTUDIANTE: LAPSO: 2011-1 RESULTADOS DE LA CORRECCIN: OBJ. N 0:NL 1:L 5 6 7 8 9 10

NDICE

INTRODUCCIN..iii iv DESCRIPCIN DEL CENTRO DE PROCESAMIENTO DE DATOS CONSIDERADO..Pg. 5 DESCRIPCIN DETALLADA DE LAS REAS AUDITABLES (INSTALACIONES, EQUIPAMIENTO, TELECOMUNICACIONES, DATOS Y PERSONAS)..Pgs. 5 7 MOD. II, UND.5, OBJ.5 INTRODUCCIN....Pgs. 7 - 9 PRESENTACIN DEL PLAN DE CONTINGENCIAPgs. 10 24 MOD. II, UND.6, OBJ.6 INTRODUCCINPgs. 25 -27 REAS QUE PUEDE CUBRIR LA AUDITORA DE LA SEGURIDAD. 1.- EVALUACIN DE RIESGOSPgs. 28 32 2.- AUDITORA DE LA SEGURIDAD FSICA..Pgs. 32 35 3.- AUDITORA DE LASEGURIDAD LGICA....Pgs. 35 37 4.- AUDITORA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES...Pgs. 37 38 5.- AUDITORA DE LA SEGURIDAD EN EL REA DE PRODUCCIN.Pg. 38 6.- AUDITORA DE LA SEGURIDAD DE LOS DATOS.Pgs. 39 41 7.- AUDITORA DE LA SEGURIDAD EN COMUNICACIONES Y REDES..Pgs. 41 43 8.- AUDITORA DE LA CONTINUIDAD DE LAS OPERACIONES..Pgs. 43 44 9.- LA AUDITORA Y LA ADMINISTRACIN DE LA SEGURIDADPgs. 44 46 PROPUESTAS O SUGERENCIAS Y CONSIDERACIONES.Pg. 46 CONCLUSIN....Pgs. 47 - 48

INTRODUCCIN

La parte fsica del computador incluye todo lo tangible que va desde el mismo computador con todas sus partes y perifricos, as como de manera general a todo lo que lo rodea o su entorno fsico.

Dentro del entorno fsico del computador se encuentra el CPD (Centro de Procesamiento de Datos Computarizados) como Unidad Fsica Informtica, del cual se debe asegurar su constante funcionamiento, tomando en cuenta la relacin que existe entre lo fsico, lo funcional y lo humano.

Para lograr esta armona y este funcionamiento constante y eficiente del CPD se cuenta con la Auditora y especficamente con la Auditora Fsica que permite proporcionar la evidencia o no de la seguridad fsica de este mbito profesional (CPD) que cumple una funcin preponderante dentro de la operatividad y funcionamiento eficiente de cualquier empresa.

La Auditora Fsica se encarga de manera integral de comprobar todo lo relacionado con los medios fsicos, como su existencia, funcionalidad, racionalidad y seguridad. Ahora con el estudio de la seguridad fisca podemos abarcar todo lo relacionado con la Auditora Fisca, ya que la seguridad fsica se aplica tambin en la existencia, funcionalidad y racionalidad. En este sentido se puede hablar de Auditora de la Seguridad Fsica.

En la Informtica, Seguridad abarca la Seguridad Lgica, la Seguridad Fsica y la Seguridad de las Comunicaciones. En un CPD la Seguridad Fsica garantiza la seguridad de los activos humanos, lgicos y materiales, entonces se debe estar preparado para cumplir con estas funciones y para lo cual toda empresa debe contar con un Plan de Contingencia, entendiendo una contingencia como la proximidad de un dao o la definicin de Riesgo de Fallo, local o general.
3

Cada vez es mayor la importancia de la informacin en todos los sentidos, pero ms aun en los sistemas basados en el uso de tecnologas de la informacin y comunicaciones, por lo que las incidencias negativas, tales como los fallos, los accesos no autorizados, la revelacin de la informacin, entre otros originan un impacto en la seguridad Informtica, en este sentido se puede hablar de manera globalizada de Auditoria de los Sistemas de Informacin que abarca desde la planificacin, la adecuacin con las estrategias de la empresa, hasta los sistemas de informacin y el mejor aprovechamiento de las tecnologas de la informacin, de la gestin de los recursos y el estudio de la rentabilidad de todo ese proceso.

DESCRIPCIN CONSIDERADO

DEL

CENTRO

DE

PROCESAMIENTO

DE

DATOS

Una compaa transnacional en el rea de distribucin y control de ventas de combustible, cuenta con un CPD principal (Es aquella ubicacin donde se concentran todos los recursos necesarios para el procesamiento de la informacin de una organizacin.) que se encarga de controlar los datos de los CPD internos de aproximadamente 3.300 Estaciones de Servicio, mediante una red IP, para lo cual utiliza las siguientes tecnologas:

ADSL (Asymmetrical Digital Subscriber Line) o Lnea de Abonado Digital Asimtrica. Es un tipo de lnea DSL. Consiste en una transmisin analgica de datos digitales apoyada en el par simtrico de cobre que lleva la lnea telefnica convencional o lnea de abonado. Es una tecnologa de acceso a Internet de banda ancha, a travs de un modem que conecta el equipo con la lnea telefnica y permite utilizar el telfono y conectarse a internet al mismo tiempo.

RDSI (Red Digital de Servicios Integrados) es una red sucesora de las tradicionales redes telefnicas publicas que solo transmitan voz con algunos servicios especiales disponibles para los datos. La tecnologa RDSI facilita conexiones digitales extremo a extremo para proporcionar una amplia gama de servicios, tanto de voz como de otros tipos, y a la que los usuarios acceden a travs de un conjunto de interfaces normalizados.

DESCRIPCIN

DETALLADA

DE

LAS

REAS

AUDITABLES

(INSTALACIONES, EQUIPAMIENTO, TELECOMUNICACIONES, DATOS Y PERSONAS) El CPD es una sala de 1.300 m2 que cuenta con los siguientes equipos para garantizar la energa elctrica:

6 transformadores de 1000KVAs cada uno (2 son dedicados en exclusiva al CPD, 2 para corriente limpia (SAIs) y 2 para oficinas). 1800 KVAs de potencia ininterrumpida (6 UPS x 300 Kva). Bateras para mantener la corriente 30 minutos en caso de fallo de suministro elctrico.

En el CPD se gestiona actualmente un volumen de trabajo a travs de:

2.800 servidores. Un almacenamiento centralizado de 2,8 PB (Peta Bytes = 1.000.000 GB).

El CPD cuenta con los siguientes equipos computarizados:

Mainframes IBM/390. IBM AS/400 HPC. Servidores UNIX/LINUX. Servidores Intel/Windows.

Servicios y aplicaciones del CPD:

SAP: Software Colaborativo de Gestin Empresarial. WEB: World Wide Web es el sistema de pginas web va internet interconectados por enlaces de hipertexto. CLIENTE/SERVIDOR: consiste bsicamente en un cliente que realiza peticiones a otro programa (el servidor) que le da respuesta.

La red de datos de las Estaciones de Servicio tiene la siguiente configuracin:

Es una infraestructura de red que da soporte a procesos crticos que requieren de comunicacin on-line (por ejemplo para las transacciones de pago con tarjeta, precios, ventas que se intercambian entre sistemas centrales y las EES).

Dispone

de

servicio,

alternativas

de

backup

(respaldo)

continuidad. Dispone de planes de contingencia y servicios de soporte.

MOD. II, UND.5, OBJ.5

Elabore el Plan de Contingencia que proporcione la evidencia o no de la Seguridad Fsica del CPD (antes, durante y despus de la aplicacin del plan). Dicho Plan ser producto del anlisis de la informacin en el caso de estudio que se le ha presentado a travs de la etapa de diagnostico realizado en las reas de la seguridad fsica.

Un Plan de Contingencia es un tipo de plan predictivo, reactivo y correctivo. Presenta una estructura estratgica y operativa que ayudara a controlar una situacin de emergencia y a minimizar sus consecuencias negativas.

El plan de contingencia propone una serie de procedimientos alternativos al funcionamiento normal de una organizacin cuando alguna de sus funciones usuales se ve perjudicada por una contingencia externa o interna.

Esta clase de plan por lo tanto intenta garantizar la continuidad del funcionamiento de la organizacin dentro de cualquier eventualidad ya sean materiales o personales. Un plan de contingencia incluye cinco etapas bsicas: la evaluacin, la planificacin, las pruebas de viabilidad, la ejecucin y la recuperacin.

Se recomiendan planificar aun cuando no es necesario, es decir, antes de que sucedan los accidentes o fallos. Por otra parte un plan de contingencia debe ser dinmico y tiene que permitir la inclusin de alternativas frente a nuevas incidencias que se pudieran producir con el tiempo. Por eso debe ser actualizado y revisado de forma peridica.

Un plan de contingencia tambin tiene que establecer ciertos objetivos estratgicos y un plan de accin para cumplir con dichas metas.

En la Informtica un plan de contingencia es un plan alternativo para que una empresa pueda recuperarse de un desastre informtico y restablecer sus operaciones con rapidez.

El plan de contingencias comprende tres subplanes. Cada plan determina las contramedidas necesarias en cada momento del tiempo respecto a la materializacin de cualquier amenaza:

El plan de respaldo. Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materializacin.

El plan de emergencia. Contempla las contramedidas necesarias durante la materializacin de una amenaza, o inmediatamente despus. Su finalidad es paliar los efectos adversos de la amenaza.

El plan de recuperacin. Contempla las medidas necesarias despus de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materializacin de la amenaza.

Por otra parte, el plan de contingencias no debe limitarse a estas medidas organizativas. Tambin debe expresar claramente:

Qu recursos materiales son necesarios. Qu personas estn implicadas en el cumplimiento del plan. Cules son las responsabilidades concretas de esas personas y su rol dentro del plan. Qu protocolos de actuacin deben seguir y cmo son.

PRESENTACIN DEL PLAN DE CONTINGENCIA

10

PLAN DE CONTINGENCIA DEL CPD EMPRESA TRANSNACIONAL EN EL REA DE DISTRIBUCIN Y CONTROL DE VENTA DE COMBUSTIBLE

11

INTRODUCCIN

Un Plan de contingencias es un instrumento de gestin para el buen gobierno de las Tecnologas de la Informacin y las Comunicaciones en el dominio del soporte y el desempeo.

Dicho plan es aplicado al CPD y contiene las medidas tcnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de la compaa y para que la Gerencia del CPD de la Empresa defina y documente un Informe de Trabajo para ser enviado a la alta gerencia.

El alcance de este plan guarda relacin con la infraestructura informtica, as como los procedimientos relevantes de su Departamento asociados con la plataforma tecnolgica.

Entenderemos como infraestructura informtica al hardware, software y elementos complementarios que soportan la informacin o datos crticos para la funcin del negocio bajo su responsabilidad.

Entendemos tambin como procedimientos relevantes a la infraestructura informtica a todas aquellas tareas que su personal realiza frecuentemente cuando interacta con la plataforma informtica (entrada de datos, generacin de reportes, consultas, etc.).

Este plan de trabajo considera evaluar las situaciones de riesgo y definir las tareas orientadas a reducir dichos riesgos. Naturalmente, en la generacin del Plan de Trabajo es recomendable trabajar con sus reportes clave a fin de que sus recomendaciones cuenten con una base operativa slida.

12

1.- PLANIFICACIN DE CONTINGENCIA

El Plan est orientado a establecer, junto con otros trabajos de seguridad, un adecuado sistema de seguridad fsica y lgica en previsin de desastres o fallos informticos.

Se define la Seguridad de Datos como un conjunto de medidas destinadas a salvaguardar la informacin contra los daos producidos por hechos naturales o por el hombre. Se ha considerado que para la compaa, la seguridad es un elemento bsico para garantizar su supervivencia y entregar el mejor Servicio a sus Clientes, y por lo tanto, considera a la Informacin como uno de los activos ms importantes de la Organizacin, lo cual hace que la proteccin de esta sea el fundamento ms importante de este Plan de Contingencia.

En este documento se resalta la necesidad de contar con estrategias que permitan realizar: Anlisis de Riesgos, de Prevencin, de Emergencia, de Respaldo y recuperacin para enfrentar algn desastre. Por lo cual, se debe tomar como Gua para la definicin de los procedimientos de seguridad de la Informacin del CPD.

1.1.- Actividades Asociadas Las actividades consideradas en este documento son: Anlisis de Riesgos Medidas Preventivas Previsin de Desastres Naturales Plan de Respaldo Plan de Recuperacin

13

2. Anlisis de Riesgos

Para realizar un anlisis de los riegos, se procede a identificar los objetos que deben ser protegidos, los daos que pueden sufrir, sus posibles fuentes de dao y oportunidad, su impacto en la compaa, y su importancia dentro del mecanismo de funcionamiento. Posteriormente se procede a realizar los pasos necesarios para minimizar o anular la ocurrencia de eventos que posibiliten los daos, y en ltimo trmino, en caso de ocurrencia de estos, se procede a fijar un plan de emergencia para su recomposicin o minimizacin de las prdidas y/o los tiempos de reemplazo o mejora.

2.1. Bienes expuestos a riesgo

Personal. Hardware. Software y utilitarios. Datos e informacin. Documentacin. Suministro de energa elctrica. Suministro de telecomunicaciones.

2.2. Posibles Daos

Imposibilidad de acceso a los recursos debido a problemas fsicos en las instalaciones donde se encuentran los bienes, sea por causas naturales o humanas.

Imposibilidad de acceso a los recursos informticos por razones lgicas en los sistemas en utilizacin, sean estos por cambios involuntarios o intencionales, llmese por ejemplo, cambios de claves

14

de acceso, datos maestros claves, eliminacin o borrado fsico/lgico de informacin clave, proceso de informacin no deseado. Divulgacin de informacin a instancias fuera de la Compaa y que afecte su patrimonio estratgico Comercial y/o Institucional, sea mediante Robo o Infidencia. Daos ocasionados por fallas elctricas exteriores o de sus equipos elctricos. Interrupciones de la operatividad de sistema por fallas de sus servicios y aplicaciones (SAP, WEB, CLIENTE/SERVIDOR). Fallas en el Hardware (Mainframes IBM/390, IBM AS/400 HPC, Servidores UNIX/LINUX y Intel/Windows). Robo comn. Falla de los equipos. Dao por virus.

2.3. Prioridades

La estimacin de los daos en los bienes y su impacto, fija una prioridad en relacin a la cantidad del tiempo y los recursos necesarios para la reposicin de los Servicios que se pierden en el acontecimiento. Por lo tanto, los bienes de ms alta prioridad sern los primeros a considerarse en el procedimiento de recuperacin ante un evento de desastre.

2.4. Fuentes de dao

Posibles fuentes de dao que pueden causar la no operacin normal del CPD de la Empresa:

15

Acceso no autorizado

Por vulneracin de los sistemas de seguridad en operacin (Ingreso no autorizado a las instalaciones). Ruptura de las claves de acceso a los sistemas computacionales Instalacin de software de comportamiento errtico y/o daino para la operacin de los sistemas computacionales en uso (Virus, sabotaje). Intromisin no calificada a procesos y/o datos de los sistemas, ya sea por curiosidad o malas intensiones.

Desastres Naturales

Movimientos telricos que afecten directa o indirectamente a las instalaciones fsicas de soporte (edificios) y/o de operacin (equipos computacionales).

Inundaciones causadas por falla en los suministros de agua. Inundaciones ocurridas por causas naturales. Fallas en los equipos de soporte: Por fallas causadas por la agresividad del ambiente Por fallas de la red de energa elctrica pblica por diferentes razones ajenas al manejo por parte de la Compaa. Por fallas de los equipos de acondicionamiento atmosfricos necesarios para una adecuada operacin de los equipos computacionales ms sensibles. Por fallas de la comunicacin. Por fallas en el tendido fsico de la red local. Fallas en las telecomunicaciones con la fuerza de venta. Fallas en las telecomunicaciones con instalaciones externas.

16

Por fallas de Central Telefnica. Por fallas de lneas de fax.

Fallas de Personal Clave

Se considera personal clave aquel que cumple una funcin vital en el flujo de procesamiento de datos u operacin de los Sistemas de Informacin: Personal de Informtica. Gerencia, supervisores de Red.

Pudiendo existir los siguientes inconvenientes: Enfermedad. Accidentes. Renuncias. Abandono de sus puestos de trabajo. Descuidos. Otros imponderables.

Fallas de Hardware

Falla en los Servidores. Falla en su almacenamiento centralizado. Falla en sus Mainframes. Fallas en los dems equipos, incluyendo los terminales.

Falla en el hardware de Red:

Falla en los Switches. Falla en el cableado de la Red.

17

Falla en los dems equipos para la operatividad de las tecnologas ADSL y RSDI.

Falla en el Router.

Falla en el FireWall.

Incendios.

2.5. Expectativa Anual de Daos

Para las prdidas de informacin, se deben tomar las medidas precautorias necesarias para que el tiempo de recuperacin y puesta en marcha sea menor o igual al necesario para la reposicin del equipamiento que lo soporta.

MEDIDAS A PREPARAR PARA SER UTILIZADAS EN RELACIN CON LA CRONOLOGA DEL FALLO:

ANTES: 3. Medidas Preventivas

3.1. Control de Accesos

Acceso fsico de personas no autorizadas. Acceso a la Red de Servidor y Terminales. Acceso restringido a las libreras, programas, y datos. Acceso a los Servicios y Aplicaciones.

18

3.2. Respaldos

Se debe contar con un Plan de Respaldo, el cual trata de cmo se llevan a cabo las acciones crticas entre la prdida de un servicio o recurso, y su recuperacin o restablecimiento. Se trata de un conjunto estructurado de procedimientos, recursos tcnicos, guas de ayuda y personas que permiten recuperar los sistemas de informacin en un Centro Alternativo. Se deben realizan anualmente 2 pruebas para verificar su operatividad: 1 Tcnica y otra real con Usuarios finales.

3.2.1.- Centro Alternativo de Respaldo

Es un sitio ubicado fuera del CPD dotado con los equipos y el personal calificado necesario para realizar el respaldo y resguardo constante de la informacin.

3.2.1.- Respaldo de datos Vitales

reas para realizar respaldos:

Sistemas en Red. Sistemas no conectados a Red. Sitio WEB. Almacenamiento Centralizado.

3.3.- Entrenamiento del Personal

Talleres sobre actuacin antes, durante y despus de desastres naturales. Simulacros peridicos ante un incendio, movimiento telrico y otras acciones de la naturaleza.

19

Respaldo de Informacin.

4. Previsin de desastres Naturales

La previsin de desastres naturales slo se puede hacer bajo el punto de vista de minimizar los riesgos innecesarios en el CPD, en la medida de no dejar objetos en posicin tal que ante un movimiento telrico pueda generar mediante su cada y/o destruccin, la interrupcin del proceso de operacin normal. Adems, bajo el punto de vista de respaldo, el tener en claro los lugares de resguardo, vas de escape y de la ubicacin de los archivos, diskettes, discos con informacin vital de respaldo de aquellos que se encuentren aun en las instalaciones de la compaa.

4.1.- Adecuado Soporte de equipos extras.

Las fallas de los equipos de procesamiento de informacin pueden minimizarse mediante el uso de otros equipos, a los cuales tambin se les debe controlar peridicamente su buen funcionamiento, nos referimos a: UPS para la operatividad ininterrumpida del CPD. UPS para la operatividad ininterrumpida de los procesos crticos de las Estaciones de Servicio.

4.2.- Seguridad Fsica del Personal

Se deber tomar las medidas para recomendar, incentivar y lograr que el personal comparta sus conocimientos con sus colegas dentro de cada rea, en lo referente a la utilizacin del software y elementos de soporte relevantes.

20

Estas acciones permitirn mejorar los niveles de seguridad, permitiendo los reemplazos en caso de desastres, emergencias o perodos de ausencia ya sea por vacaciones o enfermedades.

4.3.- Seguridad de la Informacin

La informacin y programas de los Sistemas de Informacin que se encuentran en el Servidor, o de otras estaciones de trabajo crticas deben protegerse mediante claves de acceso y a travs de un plan de respaldo adecuado.

4.4.- Realizar un Contrato de Alquiler de Hardware para ser utilizado antes cualquier contingencia.

4.5.- Designar un Centro Alternativo de Procesos de Datos.

DURANTES

En este momento se debe activar el Plan de Contingencia y se debe contar con un Plan de Emergencia, un Plan de recuperacin y el Centro Alternativo de Procesos de datos.

5.- Plan de Emergencia

Activacin del contrato de Alquiler de Hardware. Restauracin de las copias de seguridad desde el Centro Alternativo de Respaldo. Establecer un periodo crtico de recuperacin en el cual los procesos deben reanudados antes de sufrir prdidas significativas o irrecuperables. Asegurar la capacidad de las comunicaciones.

21

Reanudacin de la actividad.

6. Plan de Recuperacin

6.1.- Objetivos del Plan de Recuperacin

Los objetivos del plan de Recuperacin son: Determinacin de las polticas y procedimientos para respaldar las aplicaciones y datos. Planificar la reactivacin dentro de las 12 horas de producido un desastre, todo el sistema de procesamiento y sus funciones asociadas. Permanente mantenimiento y supervisin de los sistemas y aplicaciones. Establecimiento de una disciplina de acciones a realizar para garantizar una rpida y oportuna respuesta frente a un desastre.

6.2.- Alcance del Plan de Recuperacin

El objetivo es restablecer en el menor tiempo posible el nivel de operacin normal del centro de procesamiento de la informacin, basndose en los planes de emergencia y de respaldo a los niveles del Centro de Cmputos y de los dems niveles.

La responsabilidad sobre el Plan de Recuperacin es de la Administracin del CPD, la cual debe considerar la combinacin de todo su personal, equipos, datos, sistemas, comunicaciones y suministros.

6.3.- Acciones

Evaluacin de daos. Traslado de datos desde el Centro Alternativo de Respaldo.

22

Reanudacin de la actividad.

DESPUES

Una vez detectado y corregido el Fallo, los contratos de seguros viene a compensar, en mayor o menor medida, las prdidas, gastos o responsabilidades que se pueden derivar para el CPD.

Se deben contratar los siguientes seguros:

Centro de procesos y equipamientos: se contrata cobertura sobre dao fsico en el CPD y el equipo contenido en el. Reconstruccin de medio software: cubre el dao producidos sobre medio software. Gastos extras: Cubre los gastos extras que se derivan de la continuidad de las operaciones tras un desastre o dao en el CPD. Es suficiente para compensar los costos de ejecucin del Plan de Contingencia.

Interrupciones del negocio: cubre las prdidas de beneficios netos causadas por las cadas de los medios informticos o por la suspensin de las operaciones.

Contratos con proveedores y de mantenimiento: Proveedores o fabricantes que aseguren la existencia de repuestos y consumibles, as como garantas de fabricacin.

Entre otros.

23

ACTIVACION DEL PLAN DE CONTINGENCIA

Decisin Queda a juicio de la Gerencia determinar la activacin del Plan de Contingencia. Duracin estimada

Se determinar la duracin estimada de la interrupcin del servicio, segn la magnitud del fallo o desastre, siendo un factor clave que podr sugerir continuar el procesamiento en el lugar afectado o proceder al traslado del procesamiento al Centro alternativo.

Aplicacin del Plan

Se aplicar el plan siempre que se prevea una prdida de servicio por cualquier fallo o desastre.

MOD. II, UND.6, OBJ.6

Evale la auditora de la seguridad aplicada en las siguientes reas y desarrolle cada uno de los aspectos que se mencionan a continuacin:

Evaluacin de riesgos. Auditora de la seguridad fsica y lgica. Desarrollo de aplicaciones. De Produccin. De seguridad de los datos. De seguridad en comunicaciones y redes. De continuidad de las operaciones y la administracin de la seguridad.

24

La Auditora de la Seguridad es el espacio de encuentro entre Auditora y seguridad, Miguel ngel Ramos Gonzlez, autor del capitulo titulado Auditora de la seguridad del libro Auditora Informtica, Un enfoque prctico de los autores Mario G. Piattini y Emilio del Peso, al respecto expresa: Ya sabemos que puede haber seguridad sin auditora, puede existir auditora de otras reas, y queda un espacio de encuentro: la auditora de la seguridad y cuya rea puede ser mayor o menor segn la entidad y el momento

El trmino Auditora de los Sistemas de Informacin se adapta mas a los enfoques actualizados sobre Auditora Informtica, ya que abarca los sistemas de informacin en totalidad, incluyendo los procesos manuales, las personas, los equipos, etc. Al respecto Mario G. Piattini y Emilio del Peso en su libro Auditora Informtica, Un enfoque prctico, expresan:

En realidad debemos ir hablando mas de Auditora de los Sistemas de Informacin que solo de Auditora Informtica, y no se trata de un juego de palabras sino de una actualizacin acorde con el nuevo enfoque y las reas que llega a cubrir

En otra parte expresan:

la

nueva

denominacin

abarca

globalmente

los

sistemas

de

informacin: desde la planificacin, el alineamiento con las estrategias de la entidades, hasta los sistemas de informacin y el

aprovechamiento de las tecnologas de la informacin aportan ventajas

25

competitivas a la entidad, la gestin de los recursos, e incluso la medida de la rentabilidad de todo ello,

Cuando se habla de la Seguridad Informtica es ms acertado hablar de Seguridad o Proteccin- de la Informacin, debido a que los datos y la informacin son los activos ms valiosos de cualquier sistema, al respecto Mario G. Piattini y Emilio del Peso en su libro Auditora Informtica, Un enfoque prctico, expresan:

Volviendo a la seguridad, aunque solemos or varias expresiones como seguridad informtica, seguridad de los sistemas y tecnologa de la informacin, seguridad o proteccin- de la informacin, puestos a elegir, y sin llegar a descartar ninguna, nos quedaramos con la ltima, ya que los datos y la informacin son los activos mas estratgicos y valiosos relacionados con los sistemas y el uso de las tecnologas de la informacin.

Emilio del Peso y Miguel ngel ramos Gonzlez en su obra Confidencialidad y Seguridad de la Informacin: La LORTAD y sus aplicaciones socioeconmicas, dicen que: la auditora viene a ser el control del control, en este sentido los grandes grupos de controles son: los directivos, los preventivos, los de deteccin, los correctivos y los de recuperacin.

Cada empresa debe definir sus propios objetivos de control, debido a que cada empresa tiene su propia realidad y ningn sistema es idnticamente igual a otro, al respecto Mario G. Piattini y Emilio del Peso en su libro Auditora Informtica, Un enfoque prctico, expresan:

26

Podemos hablar de objetivos de control respecto a la seguridad, que viene a ser declaraciones sobre el resultado final deseado o propsito a ser alcanzado mediante las protecciones y los procedimientos de control, Cada entidad ha de definir sus propios objetivos de control, en cuanto a su seguridad y otras reas, y crear y mantener un Sistema de Control Interno (funciones, procesos, actividades, dispositivos) que pueden garantizar que se cumplan los objetivos de control.

Los auditores son las personas encargadas de velar porque se cumplan esos controles internos, al respecto Mario G. Piattini y Emilio del Peso en su libro Auditora Informtica, Un enfoque prctico, expresan:

Los auditores, somos en cierto modo, los ojos y odos de la Direccin, que a menudo no puede, o no debe, o no sabe, como realizar las verificaciones o evaluaciones.

En otra parte expresan:

Cuando existe un sistema de control interno adecuado, los procesos de auditora, especialmente si son peridicos, son revisiones necesarias pero mas rpidas, con informes mas breves, si el sistema de control interno es dbil la auditora llevar mas tiempo y esfuerzo, su coste ser mayor, y las garantas de que se pongan en marcha las recomendaciones son mucho menores;.

27

REAS QUE PUEDE CUBRIR LA AUDITORA DE LA SEGURIDAD 1.- EVALUACIN DE RIESGOS

La evaluacin de riesgos es el proceso de estudio y control de los riesgos, mediante el cual se identifica, se mide su impacto y se buscan las medidas o medios para disminuir su accin.

En la Direccin Electrnica: Wikypedia se expresa que: La evaluacin de riesgo es probablemente el paso ms importante en un proceso de gestin de riesgos, y tambin el paso ms difcil y con mayor posibilidad de cometer errores. Una vez que los riesgos han sido identificados y evaluados, los pasos subsiguientes para prevenir que ellos ocurran, protegerse contra ellos o mitigar sus consecuencias son mucho ms programticos. Mario G. Piattini y Emilio del Peso en su libro Auditora Informtica, Un enfoque prctico, definen la Evaluacin de Riesgo como:

se trata de identificar los riegos, cuantificar su probabilidad e impacto, y analizar medidas que los eliminen lo que generalmente no es posibleo que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto

Para realizar la evaluacin de los riesgos de un sistema, en este caso del CDP en estudio se deben considerar todos los factores que pueden ser afectados por estos, entre los que tenemos: el tipo de informacin almacenada, procesada y transmitida, la criticidad de las aplicaciones, la tecnologa usada, el marco legal aplicable, el sector de la entidad, la entidad misma y el momento.

28

Tambin es muy importante considerar y evaluar todas las posibles amenazas, bien sean humanas, desastres naturales, fallos de instalaciones, entre otras; y un punto muy importante es saber el nivel de cultura de la seguridad que presenta la empresa auditada.

El CDP de la empresa evaluada controla esencialmente la red de datos de las Estaciones de Servicio de Combustible desplegadas en reas remotas, en este centro se debe hacer la evaluacin de los siguientes riesgos:

Errores y negligencias del personal. Accidentes de distintos tipos. Los desastres naturales, como terremotos, inundaciones,

tormentas, derrumbes, etc. Incendios. Fallo de instalaciones, de los equipos, perdidas de informacin. Fallo por virus. Vandalismo, robo comn. Huelgas, epidemias o intoxicaciones. Fraudes y dems delitos informticos (ingreso ilegal al sistema, interceptado ilegal de la redes, interferencias, daos en la informacin (borrado, daado, alteracin o supresin de data), mal uso de artefactos, chantajes, ataques a sistemas, robo, ataques realizados por hackers, violacin de los derechos de autor, uso indebido de Internet, violacin de informacin confidencial y muchos otros.). Sabotaje. Terrorismo. Entre otros.

29

El personal del CDP debe estar preparado para responder a los efectos de estos riesgos, para lo cual se debe responder la siguiente pregunta: Qu probabilidad hay de que tenga efecto alguno de los riesgos mencionados?

Al fuego, que puede destruir los equipos y los archivos La Institucin cuenta con proteccin contra incendios? Se cuenta con sistemas de aspersin automtica, con Diversos extintores, Detectores de humo? Los empleados estn preparados para enfrentar un posible incendio? A un robo comn, llevndose los equipos y archivos. Hay personal de seguridad en la Institucin? Al vandalismo, que daen los equipos y archivos Hay la probabilidad que causen algn otro tipo de dao intencionado? A fallas en los equipos, que daen los archivos Los equipos tienen un mantenimiento continuo por parte de personal calificado? Cules son las condiciones actuales del hardware? Es posible predecir las fallas a que estn expuestos los equipos? A equivocaciones que daen los archivos Cunto saben los empleados de computadoras o redes? Los que no conocen del manejo de la computadora, saben a quin pedir ayuda? Durante el tiempo de vacaciones de los empleados, qu tipo de personal los sustituye y qu tanto saben del manejo de computadoras?

A la accin de virus, que daen los archivos Se cuentan con procedimientos contra los virus? A terremotos, que destruyen los equipos y archivos

30

La Institucin se encuentra en una zona ssmica? El edificio cumple con las normas antissmicas? Un terremoto, cunto dao podra causar? A accesos no autorizados, filtrndose datos importantes Cunta competencia hay para la empresa? Qu probabilidad hay que un competidor intente hacer un acceso no autorizado? Contamos con Sistemas de Seguridad en el Correo Electrnico o Internet? Al robo de datos; difundindose los datos. Cunto valor tienen actualmente las Bases de Datos? Cunta prdida podra causar en caso de que se hicieran pblicas? Se ha elaborado una lista de los posibles sospechosos que pudieran efectuar el robo? La lista de sospechosos, es amplia o corta? Al fraude, desviando fondos merced a la computadora.

Para cada riesgo, se debe determinar la probabilidad del factor de riesgo y se deben tabular el tipo de riesgo con su factor de riesgo. Como ejemplo se mencionan algunos factores de riesgo:

Factor de riesgo bajo. Factor de riesgo muy bajo. Factor de riesgo alto. Factor de riesgo muy alto. Factor de riesgo medio.

31

2.- AUDITORA DE LA SEGURIDAD FSICA

La Auditora de la Seguridad Fsica garantiza la integridad de los activos humanos, lgicos y material de un CPD. No estn claros los lmites, dominios y responsabilidades de los tres tipos de seguridad que a los usuarios les interesa: seguridad lgica, seguridad fsica y seguridad de las comunicaciones, por lo que estos mbitos dela seguridad estn ntimamente ligados.

Sobre la actividad de la Auditora de la Seguridad fsica, Mario G. Piattini y Emilio del Peso en su libro Auditora Informtica, Un enfoque prctico, expresan:

se evaluaran las protecciones fsicas de datos, programas, instalaciones, equipos, redes y soportes, y por su puesto habr que considerara las personas: que estn protegidas y existan medidas evacuacin, alarmas, salidas alternativas, as como que no estn expuestas a riesgos superiores a los considerados admisibles en la entidad, en una auditora de sistemas de informacin nos preocupamos especialmente por quienes estn en el rea o delos daos que puedan afectar a los usuarios de los sistemas si estn dentro de la auditora.

reas de la Seguridad fsica Edificio: o Debe encargarse a peritos especializados Las reas en que el auditor chequea directamente : o Organigrama de la empresa Dependencias orgnicas, funcionales y jerrquicas. Separacin de funciones y rotacin del personal. Da la primera y ms amplia visin del Centro de Proceso

32

o Auditora Interna Personal, planes de auditoria, historia de auditorias fsicas Administracin de la seguridad o Director o responsable de la seguridad integral o Responsable de la seguridad informtica o Administradores de redes o Administradores de Base de datos o Responsables de la seguridad activa y pasiva del entorno fsico o Normas, procedimientos y planes existentes

Centro de proceso de datos e instalaciones o Entorno en donde se encuentra el CPD o Sala de Host o Sala de operadores o Sala de impresoras o Cmara acorazada o Oficinas o Almacenes o Instalaciones elctricas o Aire acondicionado

Equipos y comunicaciones o Host,

terminales,

computadores

personales,

equipos

de

almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones.

33

Seguridad fsica del personal o Accesos seguros o Salidas seguras o Medios y rutas de evacuacin, extincin de incendios, sistemas de bloqueos de puertas y ventanas o Normas y polticas emitidas y distribuidas al personal referente al uso de las instalaciones por el personal

Fuentes de la Auditora Fsica o Debieran estar accesibles: o Polticas, normas y planes de seguridad o Auditoras anteriores, generales o parciales o Contratos de seguros, de proveedores y de mantenimiento o Actas e informes de tcnicos y consultores o Informes de accesos y visitas o Informes sobre pruebas de evacuacin o Polticas del personal o Inventarios de soportes (respaldos, procedimientos de archivos, controles de salida y recuperacin de soporte, control de copias, etc.).

En el CDP se debe realizar la Auditora de la Red Fsica deforma tal que se debe garantizar que exista: reas de equipo de comunicacin con control de acceso. Proteccin y tendido adecuado de cables y lneas de

comunicacin para evitar accesos fsicos. Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella.

34

Prioridad de recuperacin del sistema. Control de las lneas telefnicas.

Y se debe comprobar que: El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. La seguridad fsica del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de cableado de lneas telefnicas. Las lneas de comunicacin estn fuera de la vista. Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma. Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar pinchazos a la red. Existan revisiones peridicas de la red buscando pinchazos a la misma. El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones especficas. Existan alternativas de respaldo de las comunicaciones. Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas configuradas con retro llamada, cdigo de conexin o interruptores.

3.- AUDITORA DE LASEGURIDAD LGICA

La auditora de la seguridad Lgica comprende los mtodos de autenticacin de los sistemas de informacin, en este sentido Mario G. Piattini y Emilio del Peso en su libro Auditora Informtica, Un enfoque prctico, expresan:

35

desde el punto de vista de la auditora es necesario revisar como se identifican y sobre todo autentican los usuarios, como han sido autorizados y por quien, y que ocurre cuando se producen transgresiones o intentos: quien se entera y cuando y que se hace.

En el CDP se debe realizar la Auditora de la Red Lgica en sta, debe evitarse un dao interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Para ste tipo de situaciones:

Se deben dar contraseas de acceso. Controlar los errores. Garantizar que en una transmisin, sta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la informacin a la red.

Registrar las actividades de los usuarios en la red. Encriptar la informacin pertinente. Evitar la importacin y exportacin de datos.

Y se debe comprobar que: El sistema pidi el nombre de usuario y la contrasea para cada sesin: En cada sesin de usuario, se debe revisar que no acceda a ningn sistema sin autorizacin, ha de inhabilitarse al usuario que tras un nmero establecido de veces erra en dar correctamente su propia contrasea, se debe obligar a los usuarios a cambiar su contrasea regularmente, las contraseas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar informacin sobre su ltima conexin a fin de evitar suplantaciones.

36

Inhabilitar el software o hardware con acceso libre. Generar estadsticas de las tasas de errores y transmisin. Crear protocolos con deteccin de errores. Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor. El software de comunicacin, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados.

Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.

Se debe hacer un anlisis del riesgo de aplicaciones en los procesos. Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre diferentes organizaciones. Asegurar que los datos que viajan por Internet vayan cifrados. Si en la red hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos forneos a la red.

Deben existir polticas que prohban la instalacin de programas o equipos personales en la red. Los accesos a servidores remotos han de estar inhabilitados.

4.- AUDITORA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES

Se debe verificar que el desarrollo de aplicaciones este autorizados en todos los niveles, que metodologa se va a utilizar, si existen cdigos maliciosos, si estn protegidos los programas, si se ha adquirido la debida licencia de uso, se debe seguir el debido control interno, si es viable la aplicacin, si cuenta con una

37

completa documentacin, entre otros aspectos. En este sentido Mario G. Piattini y Emilio del Peso en su libro Auditora Informtica, Un enfoque prctico, expresan:

Todos los desarrollos deben estar autorizados a distinto nivel segn la importancia del desarrollo a abordar si hay separacin suficiente de entornos, la metodologa seguida, ciclos de vida, gestin de los proyectos, consideraciones especiales respecto a aplicaciones que traten datos clasificados o que tengan transacciones econmicas o de riesgo especial, trminos de los contratos y cumplimiento, seleccin y uso de paquetes, realizacin de pruebas a distintos niveles y mantenimiento posterior, as como el desarrollo de usuarios finales.

5.- AUDITORA DE LA SEGURIDAD EN EL REA DE PRODUCCIN La auditora de Produccin se encarga de verificar y proteger todos los recursos producidos por las aplicaciones de la empresa, como los reportes, los ficheros, los archivos, etc.

Auditar el rea de produccin consiste en auditar las secciones que la componen y sus interrelaciones. El rea de produccin se divide en tres grandes reas: Planificacin, Produccin y Soporte Tcnico, en la que cada cual tiene varios grupos. En el rea de produccin del CDP auditado se debe controlar y proteger la entrada de datos, hacer un seguimiento a la entrega de trabajos, procesamiento en tiempo real (on line), las transacciones de pagos con tarjetas, control de precios, las ventas que se intercambian entre sistemas centrales y las EES.

38

6.- AUDITORA DE LA SEGURIDAD DE LOS DATOS La seguridad de los datos se refiere a que pueda tener acceso a los datos cuando los necesita (el sistema es conable), que los datos no desaparezcan espontneamente en el futuro, que los datos no se alteran sin autorizacin, que los datos no se lean sin autorizacin. Estas expectativas pueden verse frustradas por varios factores

accidentales o intencionales. Los accidentales incluyen: El software tiene bugs (Error de Software) El hardware no es conable y puede fallar. Puede haber un desastre natural que destruye el sistema o sus datos Un usuario incompetente accidentalmente limpia la base de datos (y no tiene respaldo).

Los factores intencionales incluyen: Los ataques informticos: o Un intruso malicioso logra entrar en el sistema y lee o modifica mis datos o Alguien falsifica mi identidad y manda mensajes en mi nombre o Alguien interviene en los medios fsico de la red para captar informacin o engaar el sistema

Mario G. Piattini y Emilio del Peso en su libro Auditora Informtica, Un enfoque prctico, expresan:

los datos y la informacin pueden llegar a constituir el activo mas critico para la entidad Los datos, adems de alfanumricos, pueden consistir
39

en imgenes de planos, en otros diseos u objetos, grficos, acsticos y otros, y estar almacenados en medios y soportes diversos La proteccin de los datos puede tener varios enfoques respecto a las caractersticas: la confidencialidad, disponibilidad e integridad.

Los datos presentan una funcionalidad que va desde la entrada al sistema, su procesamiento dentro del sistema hasta su salida como informacin relevante y necesaria para la operatividad del sistema, en este sentido, citando a Mario G. Piattini y Emilio del Peso en su libro Auditora Informtica, Un enfoque prctico, se puede hablar de Ciclo de Vida de los Datos

La Auditora de la Seguridad de los Datos debe revisar:

El dato desde su origen. El proceso de los datos. La salida de resultados. Retencin dela informacin y proteccin en funcin de su clasificacin.

La Auditora de la Seguridad de los datos se puede aplicar en el CDP estudiado realizando las siguientes acciones:

Se debe hacer la designacin de propietarios, restriccin de uso para pruebas, inclusin de muescas para poder detectar usos no autorizados, as como aprovechar la capacidad de proteccin, control y auditora del Sistema de Gestin de Bases de Datos.

Se deben clasificar los datos e informacin y debe revisarse quien la ha realizado y segn que criterios y estndares; tambin es conveniente que se distingan por niveles y categoras, asociadas a reas funcionales o proyectos.

40

Aquellos soportes que contengan datos o informacin de los niveles ms crticos estarn especialmente protegidos, incluso cifrados. Entre esos soportes tenemos: la infraestructura de red de datos controlada por el CPD, los magnticos, papel, correo electrnico, voz, etc.

Etiquetar los diferentes soportes fsicos y documentos cuyo contenido esta especialmente clasificado, lo que en ocasin puede llegar a alertar incluso a distancia a quienes no estn autorizado.

En cuanto a los sistemas SAP, WEB, CLIENTE/SERVIDOR y dems SERVICIOS es necesario verificar los controles en las estaciones y no solo en el CPD, ya que las plataformas son heterogneas y presenta niveles y caractersticas de seguridad muy diferentes, y con posibilidades de transferencia de archivos o de captacin y exportacin de datos que pueden perder sus protecciones al pasar de una plataforma a otra.

7.- AUDITORA DE LA SEGURIDAD EN COMUNICACIONES Y REDES

Las redes y comunicaciones deben ser propiedad exclusiva de la empresa y no se debe permitir por ningn motivo, salvo autorizacin de una auditora externa, ser utilizadas por terceros, al respecto Mario G. Piattini y Emilio del Peso en su libro Auditora Informtica, Un enfoque prctico, expresan: En las polticas de la entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por seguridad y por productividad, tal vez salvo emergencias concretas si as se ha especificado, y mas bien para comunicaciones por voz.

En el CDP debe auditarse:

41

La gestin de red = los equipos y su conectividad. La monitorizacin de las comunicaciones. La revisin de costes y la asignacin formal de proveedores. Creacin y aplicabilidad de estndares.

Cumpliendo como objetivos de control:

Tener una gerencia de comunicaciones con plena autoridad de voto y accin. Llevar un registro lneas actualizado y todo de mdems, controladores, con las

terminales,

equipo

relacionado

comunicaciones. Mantener una vigilancia constante sobre cualquier accin en la red. Registrar un coste de comunicaciones y reparto a encargados. Mejorar el rendimiento y la resolucin de problemas presentados en la red.

Para lo cual se debe comprobar: El nivel de acceso a diferentes funciones dentro de la red. Coordinacin de la organizacin de comunicacin de datos y voz. Han de existir normas de comunicacin en: o Tipos de equipamiento Mainframes, servidores, adaptadores de red. o Autorizacin de nuevo equipamiento, tanto dentro, como fuera de las horas laborales. o Uso de conexin digital con el exterior como Internet. o Instalacin de equipos de escucha como Sniffers (exploradores fsicos) o Traceadores (exploradores lgicos). La responsabilidad en los contratos de proveedores.

42

La creacin de estrategias de comunicacin a largo plazo. Planificacin de cableado. Planificacin de la recuperacin de las comunicaciones en caso de desastre. Ha de tenerse documentacin sobre el diagramado de la red. Se deben hacer pruebas sobre los nuevos equipos. Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores. Vigilancia sobre toda actividad on-line.

8.- AUDITORA DE LA CONTINUIDAD DE LAS OPERACIONES

Al hablar de Plan de Contingencia, podemos hablar de Plan de Continuidad. En una auditoria de seguridad, las consecuencias que puede tener el no haberlo revisado o haberlo hecho sin la suficiente profundidad: no basta con ver un manual cuyo titulo sea plan de contingencia o denominacin similar, sino que es imprescindible conocer si funcionaria con las garantas necesarias y cubrira los requerimientos en un tiempo inferior al fijado y con una duracin suficiente.

Con relacin a la Auditora de la Continuidad de las operaciones, Mario G. Piattini y Emilio del Peso en su libro Auditora Informtica, Un enfoque prctico, expresan: Es uno de los puntos que nunca se deberan pasar por alto en una auditoria de seguridad, por las consecuencias que puede tener el no haberlo revisado o haberlo hecho sin la suficiente profundidad: no basta con ver un manual cuyo titulo sea plan de contingencia o denominacin similar, sino que es imprescindible conocer si funcionaria con las garantas

43

necesarias y cubrir los requerimientos en un tiempo inferior al fijado y con una duracin suficiente.

Con relacin a este control que permita garantizar la continuidad de las operaciones del CPD y por lo tanto de la empresa, es necesario conocer las caractersticas del centro, del centro alternativo de procesamiento y del centro alternativo de respaldo, y debe revisarse si la capacidad de proceso, la de comunicaciones y la de almacenamiento de los sistemas alternativos son suficientes, as como las medidas de proteccin.

Debe existir un manual completo y exhaustivo relacionado con la continuidad en el que se contemplen diferentes tipos de incidencias y a que nivel se puede decidir que se trata de una contingencia y de que tipo.

9.- LA AUDITORA Y LA ADMINISTRACIN DE LA SEGURIDAD

A travs de la administracin de seguridad se puede lograr la exactitud, integridad y proteccin de todos los procesos y recursos de los sistemas de informacin. De este modo la administracin de seguridad minimiza errores, fraudes y prdidas en los sistemas de informacin que interconectan a las empresas actuales, as como a sus clientes, proveedores y otras partes interesadas. Las funciones de auditora de sistemas de informacin y la de administracin de seguridad son complementarias e independientes, ambas contribuyen a una mayor y mejor proteccin de los sistemas, al respecto Mario G. Piattini y Emilio del Peso en su libro Auditora Informtica, Un enfoque prctico, expresan: Hemos encontrado en mas de una ocasin que la misma persona tenia las funciones de administracin de seguridad y auditoria (informtica)

44

interna, lo cual puede parecer bien a efectos de productividad, pero no es admisible respecto a segregacin de funciones, siendo preferible, si la entidad no justifica que dos personas cumplan en exclusiva ambas funciones, que se cubra solo una, o bien que la persona realice otras funciones complementarias pero compatibles, como ser algunas

relacionadas con calidad.

Mas abajo dicen: Ambas funciones han de mantener contactos peridicos y prestarse cierta asistencia tcnicaNormalmente Administracin de seguridad habr de implantar las recomendaciones de los auditores una vez fijadas las prioridades por la Direccin de la entidad Ambas funciones han de tener una dependencia jerrquica adecuada, una descripcin de funciones idnea, y que las personas cuenten con formacin y experiencia acordes y estn motivadas;

En la empresa estudiada y especialmente en el CDP se debe aplicar la nueva visin para la Administracin de la Seguridad o el nuevo modelo para administracin de la seguridad que alinea la seguridad con las necesidades de la empresa al integrar tres componentes crticos en el entorno de seguridad: la administracin de la identidad y el acceso del usuario, la administracin de las amenazas y la administracin de la informacin sobre seguridad. Cada componente debe ser abierto, flexible y fcilmente integrable con los dems, as como con las soluciones de terceros. Finalmente, la administracin de la seguridad requiere un enfoque preventivo y respuestas segn demanda a los eventos dentro del cambiante entorno de seguridad.

Cuando est implementada apropiadamente, la administracin integrada de la seguridad le permite comprender su entorno de seguridad en toda su

45

complejidad, convirtiendo los datos de seguridad en informacin procesable, obteniendo respuestas oportunas a las preguntas crticas y, segn esas respuestas, tomando medidas preventivas y agresivas para proteger los activos y la informacin en toda su empresa ----cualquiera sea su modelo empresarial o estructura organizativa-. Una amplia solucin para administracin de la seguridad ofrece mltiples beneficios, incluyendo costos reducidos, menor tiempo de inactividad, mayor productividad y cumplimiento de las regulaciones. Le permite tomar las decisiones acertadas en el momento justo. Adems, preventiva o real, la administracin de la seguridad mejora su postura global de seguridad e incrementa su eficiencia y efectividad.

PROPUESTAS O SUGERENCIAS Y CONSIDERACIONES

A travs del anlisis hecho en base a las caractersticas presentadas sobre la Compaa Transnacional en el rea de Distribucin y Venta de Combustible y sobre su principal CPD que controla esencialmente la red de datos de 3.300 Estaciones de Servicios, se puede enfatizar que representa un sistema de procesamiento de datos complejo con una infraestructura que permite que todos los servidores tengan una operatividad del cien por cien en cada momento.

Se hace esta afirmacin debido a la caractersticas presentadas de infraestructura de la red de datos que da soporte eficientemente a procesos crticos va on-line para cumplir y atender todos sus servicios, y adems garantiza la continuidad de sus operaciones, ya que dispone del servicio de alternativa de respaldo y continuidad, as como planes de contingencia y de servicio de soportes.

46

CONCLUSIN

El plan de contingencias sigue el conocido ciclo de vida iterativo de planificar-hacer-comprobar-actuar. Nace de un anlisis de riesgo donde, entre otras amenazas, se identifican aquellas que afectan a la continuidad del negocio.

Sobre dicha base se seleccionan las contramedidas ms adecuadas entre diferentes alternativas, siendo plasmadas en el plan de contingencias junto con los recursos necesarios para ponerlo en marcha.

El plan debe ser revisado peridicamente. Generalmente, la revisin ser consecuencia de un nuevo anlisis de riesgo. En cualquier caso, el plan de contingencias siempre es cuestionado cuando se materializa una amenaza, actuando de la siguiente manera:

Si la amenaza estaba prevista y las contramedidas fueron eficaces: se corrigen solamente aspectos menores del plan para mejorar la eficiencia.

Si la amenaza estaba prevista pero las contramedidas fueron ineficaces: debe analizarse la causa del fallo y proponer nuevas contramedidas.

Si la amenaza no estaba prevista: debe promoverse un nuevo anlisis de riesgos. Es posible que las contramedidas adoptadas fueran eficaces para una amenaza no prevista. No obstante, esto no es excusa para evitar el anlisis de lo ocurrido.

La Auditora de Sistemas de Informacin, hoy en da es de vital importancia para las empresas modernas con visin de futuro, sobre todo inmersas en el mundo globalizado, porque si no se provee los mecanismos de control, seguridad y respaldo de la informacin dentro de una institucin se ver

47

sumida a riesgos lgicos, fsicos y humanos, que conlleven a fraudes no solamente econmicos sino de informacin, es decir, prdidas para la empresa.

La auditoria de sistemas de informacin deber comprender no slo la evaluacin de los equipos de cmputo de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, En la mayora de empresas existe una constante preocupacin por la presencia ocasional de fraudes, sin embargo, muchos de estos podran prevenirse.

Evitar fraudes es responsabilidad de todos los empleados, por ello es importante crear una cultura empresarial encaminada a minimizar el riesgo de fraude.

La continuidad empresarial, el cumplimiento de las regulaciones, la mitigacin real del riesgo, la optimizacin de los activos de seguridad existentes y la eficiencia operativa son fciles de alcanzar si se emplea un modelo de Auditora de la Seguridad primeramente adaptado a las necesidades de la empresa y que considere y busque solucin a todas las contingencias que se pueden presentar en una organizacin.

48