UN ENFOQUE NUEVO SOBRE LA SEGURIDAD EN COMPUTACIN: CONCEPTO DE SEGURIDAD TOTAL Exigencias para incrementar la seguridad en computacin Muchas empresas

piensan que el concepto de seguridad es cubrir las reas tradicionales como la seguridad fsica y contra incendios, privacidad pero esto no es seguridad total, si no es ficticia, debido a que no cubren la seguridad de su equipo de computo. Algunas soluciones para asegurar que nuestra empresa cuenta con medidas de seguridad, es la auditoria y los seguros de computacin, los cuales se tratan como elementos constituidos de un mtodo equilibrado para la seguridad de computacin. En estos casos solo se revisan los aspectos ms importantes. Dentro de la seguridad existen varios factores que han modificado el contexto dentro del cual se usan las computadoras y han aumentado el nivel de seguridad que se requiere: Concentracin del procesamiento de aplicaciones ms grandes y de mayor complejidad. Debido al incremento de las aplicaciones de las computadoras, principalmente el manejo de B.D. ha generado que en la actualidad el riesgo de perdida de informacin en un solo lugar sea mas propensa a modificaciones o incluso a perdidas totales de la informacin, esto se debe a que solo la informacin es concentrada en un solo lugar. Dependencia en el personal clave No solo los desastres naturales pueden hacer dao o perdida total en nuestra informacin, si no que el hecho de que una sola persona maneje la informacin, esta podra ocasionar que fuese modificada o daada y as poder realizar fraudes en contra de nuestra empresa. Desaparicin de los controles tradicionales. El mal manejo de los controles que se tienen dentro de la empresa, puede llevar a que se realicen mltiples fraudes, es por eso que deben de ser asegurados. Es por eso que se recomienda que todos los procesos que se lleven a cabo se documenten y sean revisado por otros. Huelgas, terrorismo urbano e inestabilidad social Los ataques de terroristas a instalaciones como servidores, al igual que huelgas dentro de una empresa puede hacer que nuestras instalaciones sufran ataques fsicos. Es por eso que se deben de contratar con planes de contingencia para estas situaciones. Mayor conciencia de los proveedores. La investigacin y el conocimiento de los proveedores de seguridad, ha ayudado a que las empresas tengan un poco ms de conciencia en estos riesgos aspectos, lo cual ha logrado que ciertas organizaciones puedan estimar mejores presupuestos para mejorar su equipo. Enfoques tradicionales En los puntos anteriores se destacan los problemas que pueden ocurrir si nuestra empresa es insegura, es por eso que se recomienda que se cuenten con equipos de seguridad fsica, como lo son: tarjetas de acceso a la informacin, as como tambin, colocar los nodos que tienen la informacin vital de la empresa en puntos lejanos de donde se labora. Concepto de seguridad total en computacin. Se deben de considerar dos aspectos: Aspectos administrativos.

Polticas definidas sobre Seguridad fsica y contra seguridad. incendios Organizacin y divisin de Polticas hacia el personal las responsabilidades. Seguros. Aspectos tcnicos y de procedimientos Seguridad de los sistemas. Seguridad de las aplicaciones., incluyendo datos y archivos. Estndares de programacin y operacin de sistemas. Funcin de la auditoria interna y externa. Plan y simulacro para desastres. Ninguna de estas dos tiene mayor peso de importancia, si no que dependiendo la organizacin una es ms importante que la otra, pero cabe sealar que las dos deben de ser cubiertas en todas las organizaciones.

D E FIN IC IN D E U N A P O L TIC A D E S E GUR I DA D D E C OM P U TA C I N Se debe de definir una poltica de seguridad clara. Esta parte trata los aspectos que se deben considerar en la definicin de una poltica de seguridad y los elementos del mtodo para realizar esta labor. Limitacin de la seguridad. En ningn lugar existe una seguridad total, no por el hecho de tener empleados de confianza se debe de descuidar este punto, es por eso que se recomienda proteger la seguridad. Equilibrio entre las medidas de seguridad y los niveles de riesgo. Es importante mencionar que muchas organizaciones tienen menos riesgo que otras, pero no se debe de descuidar los siguientes aspectos: Accidentes causados por el mal manejo de negligencia. Ataques deliberados en forma de robo, fraude, sabotaje o huelgas. Para esto se recomienda que existan medidas claramente definidas para afrontar algn desastre ocurrido, y si existe alguna interrupcin del procesamiento, restablecerlo. Cuantificacin de los riesgos para la seguridad en computacin. La cuantificacin de los riesgos es uno de los aspectos ms importantes, por que debido a que si no existe una poltica de seguridad, puede ser razn para que no se acepten muchas recomendaciones valiosas sobre seguridad por razones de costos, por parte de la gerencia. La cuantificacin de los riesgos de seguridad implican los siguientes pasos: 1. Clasificacin general de las instalaciones en trminos de riesgo alto, medio y bajo. Definir si se trata de una instalacin de alto, medio o bajo riesgo. 2. Identificacin de las aplicaciones que constituyen riesgos altos. Para la determinacin del nivel de riesgo es necesario lo siguiente: Elaboracin de una lista de aplicaciones por orden de riesgo. Cuantificacin del riesgo. Obtencin del consenso sobre los niveles de riesgo.

Cuantificacin del impacto producido por la suspensin prolongada del procesamiento en las aplicaciones de alto riesgo. Formulacin de las medidas necesarias para lograr un nivel de seguridad adecuado, es decir, en equilibrio con los niveles de riesgo. Se deben de definir estrategias globales que de debern seguir para afrontar los niveles De riesgo definidos. Esta estrategia incluye. Aplicaciones, programas y archivos especficos. Planes de deteccin y mtodos para prevenir abusos o desastres. Prioridades, o sea, acciones que se requieren a corto plazo y los elementos que se deben considerar de manera detallada a mediano y largo plazo Justificacin de las medidas de seguridad en cuanto al costo que representan. Todas las dediciones que se tomen en cuanto a seguridad deben de ser documentadas para si en un futuro se necesitan ciertas bitcoras puedan ser utilizadas por los dems empleados.

ORGANIZACIN Y DIVISIN DE RESPONSABILIDADES La organizacin de las actividades de cmputo incluye cuatro aspectos: Divisin de responsabilidades. Dentro de todas las organizaciones, la divisin de las responsabilidades permite lograr la revisin y los balances sobre la calidad del trabajo. Dentro del contexto de computacin hay varios recursos que manejan la calidad de control gerencial, y con ello, la seguridad como lo son: 1. el personal que prepara los datos no debe tener acceso a las actividades operacionales. 2. Los analistas de sistemas y programadores no deben tener el acceso a las actividades de operacin y viceversa. 3. Los operadores no deben tener acceso irrestricto a las funciones de proteccin de informacin o departamento donde se localicen los archivos maestros. 4. Los operadores del trabajo deben tener los controles nicos del procesamiento del trabajo y se les debe prohibir que inicien las correcciones de los errores. Como en toda organizacin la divisin del trabajo es un factor muy importante, aplicada a la computacin debe de ser de la siguiente manera: Desarrollo de los sistemas. Preparacin de los datos. Programacin. Operaciones centrales y remotas. Mantenimiento de programas. Control. Apoyo en el uso de los Preservacin de los archivos. programas. Sistemas de control interno. La divisin de las responsabilidades y los sistemas de verificacin interna se combinan para formar el sistema de control interno de una institucin. Los sistemas de verificacin interna se pueden definir como: Las comprobaciones de evidencias que prueben que se realiza la recoleccin de datos de forma completa y precisa y que se trabaja de acuerdo con las divisiones de responsabilidades y de jerarqua. Es importante mencionar que en una auditoria interna o externa se deben de revisar lo siguiente:

1. Revisar la divisin de responsabilidades y los procedimientos para garantizar que estn correctos. 2. Realizar pruebas que garanticen el cumplimiento de los procedimiento o sistema de control interno predeterminados. Asignacin de responsabilidad en cuanto a seguridad. Se deben de definir bien las responsabilidades dentro de cualquier organizacin, para que este sea un medio mas seguro de lo que se esta realizando. Sustitucin del personal clave. Se debe de colocar a personas claves en departamentos de seguridad, es decir, personas que tengan conocimiento y estn concientes de lo importante que es la seguridad en la empresa.

SEGURIDAD FSICA Y CONTRA INCENDIOS. La seguridad fsica es de la que mas se tiene conciencia y precaucin dentro de las organizaciones, y los puntos que se consideran son los siguientes: Ubicacin y construccin del centro de computo Debido a problemas que se han tenido por la mala ubicacin de los centros de cmputo, estos han sido ubicados con el paso del tiempo en lugares clandestinos y la seleccin del local ha sido ms conservadora, debido a que la seguridad fsica es la ms consientizada. Dentro de estos puntos destacan dos que es la construccin del local y el aislamiento, la primera se refiere a que las instalaciones deben de contar con una construccin adecuada y segura al equipo de computo y la segunda se refiere a aislar los equipos lo mas que se pueda. Aire acondicionado En muchas empresas no se toma en cuenta que una computadora puede dejar de funcionar si el lugar donde se trabaja es caliente, adems que pueden llegar a generar incendios. Para poder afrontar estos riesgos es recomendable que se instalen equipos de aire acondicionado, instalacin de redes de proteccin en todo el sistema de dctos interior y exterior, instalacin de extinguidotes y detectores de incendios e instalacin de monitores y alarmas de sonido. Suministro de energa El suministro de energa es llegar a un total equilibrio, debido a que se cuenta con equipos grandes de cmputo, as como tambin aire acondicionado y equipo de captura de datos. Riesgo de inundacin. Es recomendable que los equipos de computo se coloquen en las partes altas, es decir, no deben de ser colocados en stanos o partes donde una inundacin pueda generar la perdida total de la informacin. Acceso Es recomendable que para un mejor acceso a las bases de datos de una organizacin se lleven a cabo los siguientes puntos:

Controles de acceso durante las distintas horas del da o de la noche. Acceso de terceras personas. Estructura y disposicin del rea de recepcin. Alarmas contra robos. Tarjetas contra robos. Tarjetas de acceso y gafetes. Proteccin, deteccin y extincin de incendios. Para detectar un incendio es recomendable lo siguiente: Los detectores de fuego y humo se deben colocar cuidadosamente en relacin con los aparatos de aire acondicionado. El detector de humo debe ser capaz de detectar los diferentes tipos de gases. Los detectores de humo y calor deben ser instalados en el rea de cmputo. Es necesario colocar detectores de humo y calor bajo el piso y en los dctos de aire acondicionado. Las alarmas contra incendios deben ser conectadas con la alarma central del lugar. Asignacin de lugares especficos para colar las cintas y los discos magnticos. Es recomendable que las copias o mas conocidos como respaldos se almacenen y sean guardados en lugares lejanos a la planta. Mantenimiento. La limpieza de la instalacin es importante desde dos puntos importantes: refleja una actitud disciplinaria. El mal mantenimiento crea las condiciones para una brecha en la seguridad

POLTICAS HACIA EL PERSONAL. La integridad, la estabilidad y lealtad del personal son tres aspectos muy importantes dentro de la seguridad, debido que si se contrata a personal errneo, o bien se tiene problemas con ellos, esto puede aumentar el riesgo a la seguridad, es por eso que se sugieren que se implante polticas hacia el personal, las cuales se dividen de la siguiente manera: Polticas de contratacin. Es importante que para la contratacin se tomen en cuenta los siguientes puntos: 1. Verificacin de referencias y antecedentes de seguridad. 2. Pruebas psicolgicas. 3. Exmenes mdicos. Procedimientos para evaluar el desempeo. La evaluacin del desempeo es importante, debido a que se puede ver los sentimientos generales hacia la institucin. Polticas sobre permisos. En pocas organizaciones se tienen en las polticas poder tener un permiso para descansar, pero en muchas de estas si las existe para el personal de confianza, es por eso que esto puede aumentar el riesgo para que exista un atentado contra la seguridad de la empresa por parte del personal.

Rotacin de puestos. Es recomendable que la rotacin de puestos se haga en los niveles medios o bajos del organigrama, ya que la seguridad existe en los niveles altos, y si se realiza mucha rotacin en los departamentos que tienen la seguridad y control de la informacin, esto podra ocasionar un posible atentado. Actitudes de personal. Es importante que al personal se le tenga motivado, debido a que en lugares donde el personal es desmotivado, existe ms riesgo que se tenga perdida o dao a la informacin que por un fenmeno natural, desastre, etc., es decir, el principal enemigo es El hombre.

LOS SEGUROS 1. Problemas tradicionales. En el comercio desde hace tiempo existen los seguros. En este caso se tocara el tema de seguros computacionales. Existen dos problemas principales: La existencia de un gran vaco en la comunicacin: los aseguradores saben poco acerca de computadoras, mientras que el personal de cmputo conoce muy poco acerca de seguros y mucho sobre computadoras. No hay un entendimiento acerca de los riesgos y sus consecuencias. El objeto de comprar un seguro no resguarda la informacin lo nico que cubre es el equipo fsico, aunque ya existen seguros que son mucho mas caros que pueden cubrir todo tipo de daos, pocos lo tienen. 2. reas de riesgo asegurables. A continuacin se explican las principales reas de riesgo: Ambiente Los riesgos externos de ambiente pueden ser: explosivos y material o los procesos inflamables, atmsferas toxicas, calientes, con gas, polvo o abrasivos, riesgos de inundacin en las reas bajas, entre otros. Cabe sealar que tambin existen riesgos internos como son: fuentes de energa, equipos de aire acondicionado, detectores de fuego, calor o humo, aparatos que contengan agua, como la calefaccin o el sistema de drenaje. Existen otros riesgos, como los errores del sistema o procedimientos de seguridad y el acceso no autorizado. Equipo. El equipo abarca: instalacin de cmputo, es decir, edificio, mobiliario, planta de aire acondicionado, equipo auxiliar, fuentes de energa, cintas, tarjetas, papelera, etc. En un seguro de equipo se deben de considerar las siguientes partes: Responsabilidad del seguro. En algunas empresas existe equipo comprado e incluso rentado, este ltimo debe de considerarse por separado. Un punto muy importante que se trata es que se deben de revisar muy bien los contratos firmados con las compaas de seguros, por que en ocasiones no se cubren las necesidades de la empresa que recibe tal servicio. Riesgos por cubrir. Existen unas plizas que abarcan contra todo riesgo, las cuales abarcan las causas de daos tanto externas como internas. Tambin se pueden incluir coberturas por la interrupcin de las actividades, como se exponen:

Dao por causas externas.- Las cuales abarcan el fuego, terremotos, inundaciones, rompimiento de caeras, dao por impacto, disturbios, tumultos civiles, etc. Daos por causas internas.- acciones deliberadas o de negligencia por parte de los operadores que causen el dao y daos a consecuencia del paro prolongado del funcionamiento de la planta de aire acondicionado. Programas y datos. Dentro del contexto de programas y datos se incluyen en las plizas: Sistemas operativos, programas de utilizacin, programas de aplicacin, programas que se desarrollan en la institucin, programas operativos, entre otros. Los seguros contra perdidas y daos lo que aseguran son la perdida o el dao causado del medio y el costo por reposicin de la informacin registrada en ellos. Cabe sealar que los seguros no cubren: programas extrados del edificio y extraviados, robos, ubicacin en otras instalaciones que fueron daadas, daados en forma involuntaria o deliberada por terceros. Se recomienda que a la hora de asegurar nuestra informacin con la compaa aseguradora se puedan tomar en cuenta los siguientes puntos: Los costos de produccin del equipo Los costos de reproduccin del programa y; El valor comercial del programa Interrupcin comercial y su recuperacin En ocasiones nos puede suceder que nuestro equipo asegurado sufri un dao, cabe sealar que este equipo sufri una devaluacin en cuanto a costo, es por eso que se deben de considerar los siguientes factores: Evaluacin de las consecuencias. Efectos de la interrupcin sobre el costo El personal. El personal Existen varios factores que pueden ocasionar el personal como pueden ser: Daos causados por el personal: Estos son causados, accidentalmente, deliberados o producto de la negligencia. Los equipos deben ser cubiertos por este tipo de daos. Daos al personal: riesgos elctricos, riesgos que provienen de dispositivos de proteccin, riesgos resultantes de condiciones de trabajo excepcionales, riesgos debidos a la falta de conocimiento del personal de cmputo. Actos deshonestos del personal Responsabilidades de terceras personas Dentro de las plizas de seguro se deben de estipular los daos ocasionados por terceras personas, por que es muy comn que estos ocasionen la perdida de informacin incluso de equipo. Servicios de seguros especializados. En la actualidad existen compaas altamente reconocidas debido a que proporcionan seguros con plizas especializadas para usuarios de computadoras. Seguimiento de los cambios en los riesgos. Se deber formar un comit que tenga por objeto: identificar y cuantificar los riesgos directos y consecuentes de la instalacin de computo en la empresa, garantizar que la cobertura se revise para tomar nota de los incrementos en los costos o en los precios de

reposicin, garantiza la existencia de los planes de contingencia, asegurar que la precisa consecuente excluya de las responsabilidades de la institucin a terceras personas y obtener asesora y orientacin especializada cuando se requiera. El comit formado deber estar integrado de la siguiente manera: gerencia de procesamiento de datos, la compaa de seguros, los gestores de seguros, el departamento de control secretarial o financiero y la auditoria interna o la externa.

S E G URI DA D

D E L OS S I S T E M A S

Alcance del trmino La seguridad de los sistemas se refiere a la seguridad del equipo de cmputo, e incluye: Equipo Programas de uso general Redes Terminales y programas generales directamente asociados Equipo Las puertas falsas en el equipo slo son relevantes en las instalaciones de alta seguridad; all hay que identificarlas y determinar la manera de asegurarlas. Esto se logra con barreras fsicas. Existen ciertos malos manejos en la operacin del equipo que crean el riesgo de negligencia o accidente. Estos se deben definir e incluir en un manual prctico de operaciones para el personal. Estas prcticas se deben vigilar en todo el equipo con pruebas sorpresa u observaciones. Programas La seguridad se considera posterior, y en consecuencia, las medidas que se toman se tienen que imponer sobre una estructura ya existente. Esto reduce de manera natural el nivel de efectividad de la seguridad. Las puertas falsas en los programas representan una amenaza sustancial y fundamental para la seguridad del sistema. La seguridad de la programacin pretende: 1. Restringir el acceso a los programas y archivos 2. Asegurar que los operadores puedan trabajar sin la supervisin minuciosa y no modificar los programas ni los archivos 3. Asegurar que se estn utilizando los datos, archivos y programas correctos en el procesamiento Para identificar y definir las puertas falsas, se debe seguir el siguiente mtodo: 1. Elaborar un inventario de las puertas falsas identificadas y de aquellas que solo se han mencionado 2. Probar las puertas falsas existente y potenciales para verificar su existencia 3. Definir alguna forma de seguimiento o control para cada rea de debilidad 4. Elaborar un plan de accin para realizar los controles Redes Se pretende describir los sistemas de comunicacin y los programas de manejo asociados a stos.

El mayor riesgo reside en el acceso no autorizado a las redes, con el propsito de obtener informacin confidencial o de hacer uso indebido del as instalaciones de procesamiento. El aspecto del acceso a informacin confidencial merece atencin en las instituciones de alta seguridad. La nica medida de seguridad realista consiste en usar un cdigo o la criptografa, a fin de preservar la confidencialidad de la informacin an en el caso de que exista una brecha en la seguridad. Terminales El tema clave de la seguridad de la Terminal es el uso indebido. Se debe considerar: 1. La ubicacin de las terminales, el conocimiento general de ello y el acceso fsico a la Terminal 2. El control sobre la operacin no autorizada de la Terminal por medio de claves fsicas, cdigos u otro mtodo de identificacin. 3. El equipo, los programas y otras verificaciones que permitan garantizar que los controles se reforzarn. Resulta importante garantizar el mximo control en las siguientes reas: Verificaciones fsicas e informaes acerca del uso de la Terminal Vigilancia e informes sobre los intentos de acceso no autorizado Cambios sorpresa de los cdigos del usuario Pruebas sorpresa y secretas de auditora, llevadas a cabo como parte del procesamiento de datos Pruebas sorpresas para las prcticas de operacin Seguimiento del desempeo Una parte esencial del sistema de seguridad es el anlisis detallado del desempeo de los sistemas. Existe el peligro de considerar los abusos ms oscuros y complejos e ignorar otros que son obvios, como trabajos o uso de tiempo no autorizado. Los controles que se deben incorporar como parte de los sistemas de control interno, son: Comparaciones especificas sobre las labores planificadas y las realizadas, en especial sobre los archivos y los programas usados. Programas para el seguimiento de los rechazos que realiza el SO de las terminales y de los usuarios, sobre archivos o programas especficos.

S E G URI DA D

D E L A S A PL I C A C I ONE S

Alcance Las etapas clsicas de cada sistema implican: Iniciacin manual de los datos Conversin de los datos a un formato aceptable por la computadora Procesamiento Distribucin de los resultados Relacin entre la computadora y el usuario Un gran problema en todos los sistemas de cmputo es el de control de errores. Existen los siguientes puntos clave: Todos los errores se deben corregir por el personal autorizado

La divisin de la responsabilidad se debe mantener cuando se asigne la autoridad para la correccin de errores. En la distribucin de los datos, se debe tener precaucin y seguridad en la alimentacin de la computadora con los datos de entrada, as como tambin en el procesamiento dentro del departamento de cmputo. Sin embargo, se puede tener menos precaucin en la distribucin de informes a los usuarios. La seguridad respecto ala distribucin debe cubrir lo siguiente: La responsabilidad e identificacin del personal autorizado para el acceso a los informes El control sobre los resultados tanto para las operaciones vlidas como las frustradas El control sobre las que fueron copias carbn de los informes corregidos Control del usuario El usuario tiene la responsabilidad primaria de asegurar que los datos recolectados para el procesamiento estn completos y sean precisos; tambin se debe asegurar de que todos los datos se procesen y se incluyan en los informes que le regresan. En el anlisis final, no es aceptable culpar a la computadora por las decisiones que se basen en datos precisos. No es suficiente que el usuario delegue esta responsabilidad al departamento de cmputo, no puede evadirla. Aunque la creacin y el mantenimiento de estos controles representan alguna duplicacin de trabajo, sern necesarios en cualquier otro tipo de sistema. Controles de procesamiento de la computadora y seguridad de los archivos Controles de procesamiento de la computadora Se trata de los controles que se mantienen dentro del departamento de cmputo. Son el reflejo que se mantienen en los departamentos de usuarios pero, en algunos aspectos, son ms minuciosos. Los controles dentro del departamento de cmputo son de procedimiento y aritmticos; los de procedimiento incluyen: Divisin de la responsabilidad entre la captura de datos y operacin; entre operaciones y archivo Registro de evidencias que reflejan la transferencia de registros y datos entre las diferentes funciones Control sobre la precisin y distribucin de los resultados El principal propsito de estos controles es garantizar el procesamiento completo y preciso de los datos y archivos con el uso de los programas correctos. Los controles aritmticos son los que garantizan el procesamiento completo y preciso de todos los registros de datos, durante y el final del procesamiento. Seguridad de los archivos Un elemento importante y tradicional que se debe considerar en el control del procesamiento es la seguridad de los archivos, la cual abarca lo siguiente: Almacenamiento de las copias de seguridad De preferencia, la ubicacin para el almacenamiento de estos archivos debe estar muy distante de la computadora. En las instalaciones de alta seguridad se toman medidas especiales. Los procedimientos tradicionales se consideran las medidas de seguridad vigentes cuando se transportan discos o cintar a un lugar lejano y viceversa. Esto representa un rea de riesgo real en muchas instalaciones de alta seguridad. En consecuencia, las actividades no las debe realizar un solo individuo por su cuenta

Identificacin y control de los archivos Esto incluye la revisin fsica de las etiquetas y los registros fsicos del movimiento de tales archivos, axial como las verificaciones de identificacin de los encabezados de los archivos que realiza la programacin en forma rudimentaria. Precisin de los archivos Los estndares de la instalacin deben incorporar en los programas, controles detallados de principio a fin y conteos de registros. Acceso fsico a los archivos Los operadores de cmputo no deben tener acceso rutinario al archivo de cintas, el cual debe estar bajo el control de otras personas, quienes, se encuentren adscritas a alguien que no realice funciones de operacin. La disciplina de poner los datos y los archivos a la disposicin de quien los necesite para cada proceso de produccin, resulta difcil, especialmente en la planificacin de los horarios para el trabajo imprevisto. Revisin regular de los controles de aplicacin La revisin de los controles, tanto de la computadora como de los que no lo son, es una parte importante de la funcin de auditora interna. Tal revisin es una tarea compleja y estricta que requiere mucho tiempo.

E S T ND AR E S

DE

P R O GR A M A C I N

O PE R ACI N

DE

S I S T E M AS

Los estndares de prcticas adecuados, y en especial el uso de tcnicas estructurales, mejoran automticamente en nivel de seguridad de las aplicaciones, bien sean aquellas que se encuentren en proceso de desarrollo. O que ya estn terminadas y sean operativas. Los aspectos de seguridad necesitan verificarse en varios de los puntos del proceso de control de calidad, pero esto se debe hacer de manera automtica. El aspecto fundamental no es la seguridad, sino el compromiso con los buenos estndares de trabajo, lo cual todava es un punto por tratar en muchos departamentos de cmputo. Razones para revisar los estndares como parte de la seguridad en computacin. La necesidad de poner atencin en la seguridad durante todas las etapas, preliminares y subsiguientes, del anlisis y del diseo La exigencia de arreglos de respaldo adecuados, como la duplicacin de los sistemas, programacin y documentacin de operaciones Sistemas y Estndares de Programacin La seguridad, a su vez, se debe considerar en 2 niveles: Para la instalacin como un todo Las aplicaciones especificas La consideracin de las condiciones de seguridad para la instalacin como un todo, requiere una planificacin a largo plazo para garantizar que se tome en cuenta la seguridad en la realizacin de las aplicaciones progresivas. Seguridad y planeacin computacional a largo plazo La seguridad en computacin rara vez se expresa como un objetivo primario de diseo. Es importante incorporar objetivos y estndares de seguridad como una parte integral de la actividad de planeacin computacional a largo plazo. Los puntos clave se deben considerar como:

El impacto de la seguridad en computacin sobre la estrategia del equipo y los programas Las consideraciones de la seguridad de las terminales respecto a: Los controles de las aplicacin Los requisitos fsicos y la ubicacin Las estrategias de las redes, la seguridad y el respaldo Los estndares de control de la aplicacin, en especial los de reinicio y de respaldo Los estndares de los datos y del diseo de archivos La funcin de las auditorias interna y externa y los requisitos durante las fases de diseo, aplicacin y operacin. Garanta de calidad de la aplicacin a corto plazo Los elementos principales que se deben revisar son: Seguridad del equipo y los programas Controles de la aplicacin Supervisin y mtodos de trabajo Documentacin Seguridad de los programas y del equipo Los requisitos de seguridad para la aplicacin varan de acuerdo con el tipo de aplicacin y los niveles de seguridad exigidos por la institucin o por la instalacin de cmputo como un todo. Controles de la aplicacin Las necesidades de control se incluyen en dos categoras: Los controles del usuario Los controles detallados de cada proceso, de los datos y los archivos, por parte de las operaciones Dentro de una instalacin bien establecida es poco probable que surjan nuevos estndares de control. Supervisin y mtodos de trabajo Las principales consideraciones de seguridad como parte del proceso de diseo son: Puntos de enlace claramente definidos Programas de prueba y conversin Documentacin Se necesitan precauciones similares para las aplicaciones terminadas; las principales son: El almacenamiento de la documentacin para todas las aplicaciones en un lugar distante El acceso a la documentacin se debe restringir al personal directamente relacionado con el proyecto y, en las instalaciones de alta seguridad El personal de procesamiento de datos que tiene ms experiencia, reconoce que las copias de respaldo de archivos y programas slo son de sistemas y programas slo son de utilidad si cuentan con el respaldo de la documentacin adecuada de los sistemas y la programacin. Operaciones La instalacin puede estar expuesta a un riesgo considerable debido a la ausencia de: Estndares adecuados para las actividades de operacin incluyendo si corresponde a la preparacin de datos. Arreglos para el almacenamiento de la documentacin duplicada.

En la mayora de las instalaciones se acepta la necesidad de estndares de sistema y programacin. Los estndares de operaciones deben incluir: Buenas prcticas de mantenimiento. Evitar las malas practicas de operacin del equipo y la programacin Procedimientos para el uso de las copias de seguridad de los programas, datos o archivos.

FUNCION DE LOS AUDITORES TANTO INTERNOS COMO EXTERNOS Funciones generales de la auditoria Auditores externos Las responsabilidades del auditor externo se refieren de manera fundamental a estatutos legales. Algunas veces, mediante algn acuerdo, el auditor externo puede asumir un trabajo especial. Esto, sin embargo, casi nunca impide al auditor realizar su funcin primaria de expresar una opinin acerca de la contabilidad producida por una institucin con base en el examen de los libros e informes. Es decir, contrariamente a la creencia general, el auditor no es responsable de la deteccin de fraudes. Auditores internos El auditor interno no tiene responsabilidades legales. El alcance de su actividad varia de una institucin a otra. Algunas veces, desempea funciones de alto nivel que consisten informar sobre la efectividad gerencial de la institucin; en otras, su funcin principal es verificar los sistemas y procedimientos y encargarse de que se refuercen. El auditor interno es, en gran medida, una parte de los sistemas de control interno dentro de una institucin. Esta es la manera como ha evolucionado la funcin del auditor interno: una forma de inspector interno. Las actividades del auditor interno abarcan, por lo general: Participacin activa en el proceso de desarrollo, al garantizar la incorporacin de las medidas adecuadas de seguridad y auditoria y tambin al colaborador con las revisiones de los puntos de verificacin del proceso. revisin de sistemas y controles de la aplicacin, tanto en los departamentos de usuarios como en los centros de procesamiento computacional. revisin de la poltica y los procedimientos de seguridad en computacin, y participacin activa en las pruebas contra de sastres. Introduccin de tcnicas avanzadas para la auditoria de los sistemas computacionales complejos. Funciones y seguridad de la auditoria en computacin Los auditores externos como los internos constituyen una forma independiente e importante de verificacin de la eficacia y por lo tanto, la seguridad de las actividades computacionales. Por lo general, los controles internos y la seguridad son ms efectivos en las empresas bien organizadas. Por eso la existencia de una verificacin y de un informe posterior sobre la eficacia de la actividad de cmputo resulta valiosa. La seguridad se puede mejorar mediante la consideracin de los procedimientos vigentes para la prevencin de las fallas en seguridad, su deteccin y los procedimientos de recuperacin en caso de desastre.

Para lograr una contribucin efectiva de la funcin de auditoria a la seguridad computacional se considera: El alcance de la auditoria interna en la seguridad computacional Una relacin entre auditores externos e internos El papel de la auditoria interna en la sociedad y en los sistemas en operacin. La instruccin y la capacitacin para la auditoria interna Alcance de la auditoria interna respecto a la seguridad en computacin relacin entre los auditores externos e internos La aplicacin de estas tcnicas que casi siempre dentro del dominio del auditor interno. Los auditores internos y externos deben definir las exigencias desde el punto de vista de la auditoria, as como los roles y enfoques que adoptaran para satisfacerlas. funcin de la auditoria interna en el desarrollo El auditor interno tiene una funcin de participar en la planeacin de aplicaciones a largo plazo como en el diseo y la realizacin de aplicaciones en detalle, as garantiza que se consideren desde el comienzo las necesidades de seguridad y auditoria. Funcin en los sistemas en operacin El auditor interno desempea un papel como mediador entre los controles usuario y los del centro de cmputo; provisto del entrenamiento adecuado, puede conducir las revisiones detalladas de los controles en el usuario y realizar el seguimiento a travs de los datos hacia el mismo procesamiento de cmputo Instruccin y capacitacin Uno de los problemas para garantizar que la funcin de auditoria contribuya en forma realista con la seguridad computacional, es conseguir el personal capacitado. Para lograr una contribucin efectiva con la seguridad computacional, existen ciertas reas que deben cubrirse por la capacitacin de auditores y gerentes

PLANES Y SIMULACROS PARA LA RECUPERACION EN CASO DE DESASTRES La mayor parte de los planes son superficiales, no estructurados e inadecuados para afrontar las complicaciones que surgen de un desastre real. Una de las grandes objeciones a los simulacros de desastres es el costo. Este vara segn la frecuencia con que se realicen estas pruebas. Tipos de desastre Al considerar los planes y los simulacros de desastre, se necesita delinear los distintos tipos de desastre que pueden ocurrir: Destruccin completa y/o parcial de los recursos centralizados y descentralizados de procesamiento de datos, de los procedimientos manuales del usuario Destruccin o mal funcionamiento de los recursos ambientales destinados al procesamiento centralizado de datos Prdida del personal de cmputo clave Interrupcin por huelga Alcance de la planeacin contra desastres

La planeacin contra desastres debe abarcar tanto las aplicaciones en proceso de desarrollo como las operativas. En el caso de las ltimas, existen ciertas reas que necesitan proteccin en caso de desastre o ciertos recursos que deben estar disponibles para la recuperacin: Documentacin de los sistemas, la programacin y las operaciones Recursos de procesamiento que incluyen: todo tipo de equipo, ambiente para el equipo, datos y archivo, programas y papelera Aplicaciones en el proceso de desarrollo Un desastre se puede presentar en cualquier etapa del desarrollo de una aplicacin. En cada punto de verificacin o pausa del proyecto, es importante llevar acabo una revisin a fin de asegurar que existe proteccin contra desastres. Los beneficios pueden ser significativos en caso de suceder un accidente. Aplicaciones terminadas Sistemas y programacin Los planes contra desastre no solo deben considerar la existencia de documentos sino tambin las consecuencias de que la documentacin se pierda Operaciones de procesamiento Las operaciones comprenden el sistema completo desde el momento de prestar el servicio o producir el reporte. Equipo La planeacion contra desastre debe cubrir el equipo que se utiliza en cada etapa del proceso del sistema Datos y archivos Debido a que la recaptura de estos puede requerir tiempo, por eso es importante guardarlos en forma legible por el computador. Papelera Se necesita contar con existencias de papelera de emergencia, las cuales se deben guardar en otro lugar para evitar dificultades en la destruccin del depsito central Procedimientos en caso de desastre Estos deben especificar con claridad: 1. las responsabilidades en caso de desastre y la organizacin que entrara en vigencia 2. la accin inmediata que debe seguir 3. los planes contra desastres deben ser lo mas detallado que sea posible 4. todo el personal requiere adiestramiento en el plan contra desastres 5. la aplicacin de las practicas convenientes para aumentar la seguridad Simulacros de desastres Los simulacros de desastre son importantes por: Se prueban la conciencia y preparacin del personal para afrontar el desastre Se identifican las omisiones en los planes contra desastres El elemento sorpresa constituye una verificacin moral para garantizar la vigencia. Alcance de los simulacros de desastre Los simulacros deben incluir procedimientos de los usuarios y los aspectos de computacin Frecuencia de los simulacros de desastre

Los simulacros se deben realizar espordicamente, se necesitan de la experiencia y se sugiere realizarlos en un momento conveniente. Es necesario reconocer que existe un riesgo. Forma del simulacro La prueba de desastre adquiere la forma de un desastre simulado. Lo siguiente debe ocurrir inmediatamente: Todo trabajo debe cesar temporalmente Se debe contemplar un inventario de cualquier informacin destruida Anlisis del impacto Se rene el siguiente inventario Las aplicaciones en desarrollo Las aplicaciones operativas, en proceso o no la informacin perdida El informe de la respuesta del personal y los detalles sobre el conocimiento inapropiado. La efectividad de los procedimientos de recuperacin y respaldo La cuantificacin de la perdida por la destruccin

APLICACIN DE LA SEGURIDAD EFECTIVA EN COMPUTACION El elemento clave para una seguridad infectiva es la aplicacin del concepto seguridad total. Definicin del alcance de la seguridad en computacin La experiencia ha demostrado que esto se logra con un taller de trabajo que abarca: Las presiones para la seguridad en computacin La necesidad de un enfoque de seguridad La discusin de los elementos de seguridad total La compilacin de un plan de accin Establecimiento de un comit de seguridad en computacin La nica forma de asegurar el compromiso es por medio de la participacin de los afectados por las medidas de seguridad, en su diseo y aplicacin. Objetivo Los objetivos se pueden resumir: Garantizar la seguridad efectiva en computacin dentro de la empresa Disear y aplicar los planes efectivos contra desastres Verificar los niveles de efectividad de la seguridad por medio de las pruebas de desastre Formacin Los comits son difciles de manejar en el mejor de los casos, por lo que se debe limitar su tamao. Mtodo de funcionamiento El propsito primario del comit consiste en coordinar actividades, ms que asumir responsabilidades gerenciales. Revisin de la efectividad de la seguridad actual Se debe llenar listados que cubran las reas del concepto de seguridad total: Definicin de una poltica de seguridad

Organizacin y procedimientos Seguridad de los sistemas y aplicaciones Seguridad fsica y contra incendios Estndares de los sistemas, la programacin y las operaciones Prcticas del personal Seguros Funciones de la auditora Planes y simulacros Aplicacin de las medidas de seguridad En la aplicacin han surgido problemas de: Compromiso Comunicaciones Continuidad Magnitud de la Poltica gerencia Integracin de un plan de accin El plan de accin debe dividirse en 2 partes: Una accin a corto plazo Una accin de mediano a largo plazo Planes y simulacros en caso de desastres Una funcin importante del comit de seguridad es la planeacin y ejecucin de los planes de desastre.

Prioridad Costos