TALLER N 6

1. Que son los controles para la seguridad general y para qu sirven

Son aquellos que aplican a todos los tipos de software y recursos relacionados.
Estos controles sirven para:

El control de acceso a programas y a la informacin

Vigilar los cambios realizados

Las bitcoras de auditoria

Control de Acceso a programas y datos. (Se refiere a la manera en que cada

software del sistema tiene acceso a los datos, programas y funciones. Son
usualmente a travs del ID y password para identificar a los usuarios no
autorizados y para controlar el acceso inicial al software.

Cambios realizados (Deben ser probados y revisados para ser autorizados y

una vez autorizados se asignan a los programas de aplicacin y datos.

2. Dentro del contexto de los riesgos y controles a auditar que

procedimientos se recomiendan para los cambios realizados

Diseo y cdigo de modificaciones

Coordinacin con otros cambios

Asignacin de responsabilidades

Revisin de estndares y aprobacin

Requerimientos mnimos de prueba

Procedimientos del respaldo en el evento de interrupcin.

3. Que son las bitcoras de auditoras

Es aquella usada para registrar cambios en el software antes de la
implementacin. Son usadas para monitorear los accesos permitidos y negados.
Generalmente est relacionada con el sistema operativo o con el software de
control de acceso. Registran las actividades y opcionalmente muestran el
registro de los cambios hechos en el archivo o programa. Son importantes para
el seguimiento de los cambios.

4. Qu tipo de controles utilizan los controles de software especficos

El acceso al sistema debe ser restringido para individuos no autorizados.

Se debe controlar el acceso a los procesos y a las aplicaciones permitiendo

a los usuarios autorizados ejecutar sus obligaciones asignadas y evitando
que personas no autorizadas logren el acceso.

Las tablas de acceso o descripciones debern ser establecidas de manera

que se restrinja a los usuarios ejecutar funciones incompatibles o ms all de
sus responsabilidades.

Se deber contar con procedimientos para que los programadores de

aplicaciones tengan prohibido realizar cambios no autorizados a los
programas.

Se limitara tanto a usuarios como a programadores de aplicaciones aun tipo

especfico de acceso de datos ( por ejemplo: lectura y modificaciones)

Las bitcoras de auditoria debern ser protegidas de modificaciones no

autorizadas.

Software de sistemas operativos

Software manejador de base de datos

Software de consolas o terminales maestras

Softwares de libreras

Softwares de utileras

Software de telecomunicaciones

5. Que es encriptamiento
Es la transformacin de los datos a una forma que no sea posible leerla por cualquier
persona, a menos que cuente con la llave de desencriptacion. Su propsito es
asegurar la privacidad y mantener la informacin alejada de personal no autorizado,
aun de aquellos que la puedan ver en forma encriptada.

6. Que es seguridad en el personal

Es aquella seguridad que busca evaluar la integridad, estabilidad y lealtad del
personal, realizando exmenes psicolgicos y mdicos, teniendo en cuenta sus
antecedentes de trabajo

7. Que es seguridad fsica

Esta seguridad busca establecer polticas, procedimientos y prcticas para evitar
interrupciones prolongadas del servicio de procesamiento de informacin debido a
contingencias como incendio, inundacin, huelgas, disturbios, sabotaje, terremotos,
huracanes etc. Y continuar en un medio de emergencia hasta que sea restaurado
el servicio completo.

8. Cul es la seguridad en contra de virus

Son aquellas medidas que se deben realizar para evitar que los virus se
diseminen por todo el sistema computarizado o por las redes.

9. Cules son los daos que producen los virus

Los daos ms comunes son:

Suplantacin de datos

Eliminacin aleatoria

Destruccin de la produccin

Modificacin de los cdigos de proteccin

Bloqueo de redes

Cambios de informacin entre usuarios

Por medio de un canal encubierto, cambiar, acusar o difundir claves de

seguridad

Modificacin de informacin de salida o de pantallas

Saturacin, reduccin de disponibilidad o cambio de parmetros

Combinacin de los anteriores.

10. Que se debe hacer para evitar que los virus se diseminen por el sistema
computarizado o por las redes
Utilizar paquetes y programas originales
Limitar la utilizacin en comn. Solo permitir el acceso a la parte del sistema o del
programa autorizado para cada usuario.
Limitar el trnsito. Evitar que todos los usuarios puedan navegar por todos los
sistemas. Restringir el trnsito entre usuarios o entre sistemas (lo cual es difcil y va
en muchos casos en contra de la filosfica de uso de la informacin y de la
comunicacin.
Limitar la programacin y controlarla adecuadamente.

11. Que son las protecciones contra virus y elementos a auditar (237)
Son aquellos procedimientos que buscan la defensa contra la introduccin de
algn virus, y en caso de que se infecten las computadoras, tener un adecuado
procedimiento para desinfectarlas, evaluando y auditando que todos los paquetes
que se utilicen sern originales.

12. Que es la seguridad en la utilizacin de los equipos y qu medidas se

deben tomar (247)
Son aquellas medidas y procedimientos a tener en cuanta al momento de utilizar los
equipos, para prevenir el deterioro a los sistemas. Se debe tener en cuenta las
siguientes medidas:
1. Se debe restringir el acceso a los programas y a los archivos.
2. Los operadores deben trabajar con poca supervisin y sin la
participacin de los programadores y no deben modificar los
programas ni los archivos.
3. Se debe asegurar en todo momento que los datos y archivos usados
son los adecuados, procurando no usar respaldos inadecuados.
4. No debe permitirse la entrada a la red a personas no autorizadas, ni a
usar las terminales.
5. En los casos de informacin confidencial, esta debe usarse, de ser
posible, en forma codificada o criptografiada.
6. Se debe realizar peridicamente una verificacin fsica del uso de
terminales y de los reportes obtenidos.
7. Se debe monitorear peridicamente el uso que se les est dando a las
terminales.
8. Se deben hacer auditorias peridicas sobre el rea de operacin y la
utilizacin de las terminales
9. El usuario es el responsable de los datos, por lo que debe asegurarse
que los datos recolectados sean procesados completamente.

10. Debe existir una perfecta divisin de responsabilidades entre los

capturistas de datos y los operadores de computadora, y entre los
operadores y las personas responsables de las libreras.
11. Deben existir registros que reflejen la transferencia de informacin
entre las diferentes funciones de un sistema.
12. Debe controlarse la distribucin de las salidas (reportes, cintas, etc.)
13. Se deben guardar copias de los archivos y programas en lugares
ajenos al centro de cmputo y en las instalaciones de alta seguridad.
14. Se debe tener un estricto control sobre el transporte de discos y cintas
de la sal de cmputo al local de almacenaje distante.
15. Se deben identificar y controlar perfectamente los archivos.
16. Se debe tener estricto control sobre el acceso fsico a los archivos.
17. En el caso de programas, se debe asignar a cada uno de ellos una
clave que identifique el sistema, subsistema, programa y versin.

13. Que es la seguridad al restaurar el equipo

Son aquellos procedimientos en caso de una posible falla o siniestro que
pueda sufrir los sistemas de computadoras.

14. Cules son las acciones de recuperacin disponible a nivel operativo

En algunos casos es conveniente no realizar ninguna accin y reanudar el

proceso:
o Mediante copias peridicas de los archivos se puede reanudar un
proceso a partir de una fecha determinada.
o El procesamiento anterior complementado con un registro de las
transacciones que afectaron los archivos permitir retroceder los
movimientos realizados a un archivo al punto de tener la seguridad del
contenido del mismo y a partir de este reanudar el proceso.

o Analizar el flujo de datos y procedimientos y cambiar el proceso normal

por un proceso alterno de emergencia.

Reconfigurar los recursos disponibles, tanto de equipo y sistemas como de

comunicaciones:
o Cualquier procedimiento que se determine que es el adecuado para
un caso de emergencia deber ser planeado y probado previamente.

15. Como pueden clasificarse los desastres en el centro de computo

Destruccin completa del centro de computo

Destruccin parcial del centro de computo

Destruccin o mal funcionamiento de los equipos auxiliares del centro de

cmputo (electricidad, aire acondicionado, etc.)

Destruccin parcial o total de los equipos descentralizados

Prdida total o parcial de informacin, manuales o documentacin

Perdida de personal clave

Huelga o problemas laborales.

16. Cules son los elementos del plan de contingencia.

Anlisis del impacto en la organizacin

Seleccin de la estrategia

Preparacin del plan

Prueba

Mantenimiento.

UNIDAD 7. Seguridad operacional en el rea de informtica

1. Cules son los objetivos de la seguridad en el rea de informtica

Proteger la integridad, exactitud y confidencialidad de la informacin.

Proteger los activos antes desastre provocados por la mano del hombre y de
actos hostiles.

Proteger a la organizacin contra situaciones externas como desastres

naturales y sabotajes

En caso de desastre, contar con los planes y polticas de contingencias para

lograr una pronta recuperacin.

Contar con los seguros necesarios que cubran las prdidas econmicas en
caso de desastre.

2. Qu consecuencias tiene la falta de seguridad lgica o su violacin

dentro de la organizacin

Cambio de los datos antes o cuando se le da entrada a la computadora.

Copias de programas y/o informacin

Cdigo oculto en un programa

Entrada de virus.

3. Describa el plan de contingencia y procedimientos en caso de desastres

en el rea de informtica
El plan de contingencia es definido como: la identificacin de los procesos
crticos de la organizacin y los recursos requeridos para mantener un aceptable
nivel de transacciones y de ejecucin, protegiendo estos recursos y preparando
procedimientos para asegurar la sobrevivencia de la organizacin en caso de
desastre.

4. Dentro de las contingencias, como se clasifican los desastres

Destruccin completa del centro de computo

Destruccin parcial del centro de computo

Destruccin o mal funcionamiento de los equipos auxiliares del centro

de cmputo (electricidad, aire acondicionado, etc.)

Destruccin parcial o total de los equipos descentralizados

Prdida total o parcial de informacin, manuales o documentacin

Perdida de personal clave

Huelga o problemas laborales.

5. Cules son los objetivo de un plan de contingencia

Minimizar el impacto del desastre en la organizacin

Establecer tareas para evaluar los procesos indispensables de la

organizacin

Evaluar los procesos de la organizacin, con el apoyo y autorizacin

respectivos a travs de una buena metodologa.

Determinar el costo del plan de recuperacin, incluyendo la capacitacin y la

organizacin para restablecer los procesos crticos de la organizacin
cuando ocurra una interrupcin de las operaciones.

6. Que debe contemplar un plan de contingencia

La naturaleza, la extensin y la complejidad de las actividades de la

organizacin.

El grado de riesgo al que la organizacin est expuesto

El tamao de las instalaciones de la organizacin (centros de cmputo y

nmero de usuarios)

La evaluacin de los procesos considerados como crticos

El nmero de procesos crticos

La formulacin de las medidas de seguridad necesarias dependiendo del

nivel de seguridad requerido

La justificacin del costo de implantar las medidas de seguridad.

7. Que se debe hacer para evaluar una instalacin en trminos de riesgo

Clasificar los datos, la informacin y los programas que contengan

informacin confidencial de alto valor dentro del mercado de competencia de
una organizacin, as como la informacin que sea de difcil recuperacin.

Identificar aquella informacin que tenga un gran costo financiero en caso de

prdida o bien que pueda provocar un gran impacto en la toma de decisiones

Determinar la informacin que pueda representar una gran prdida en la

organizacin y, consecuentemente, provocar incluso la posibilidad de que no
se pueda sobrevivir sin esa informacin.

8. Que mtodos existen para evaluar los procesos crticos en una

organizacin

Todos los procesos crticos. Con este mtodo, la decisin es tomada por
todos los departamentos y se parte de que todas las funciones de cada
departamento son crticas. Por lo general, se elimina uno o dos
departamentos, pero casi todo es clasificado como crtico. Si se elige este
mtodo, se deben enlistar todas las funciones de cada departamento, Este
mtodo no es recomendable porque elaborar el plan de contingencias
requerir de mucho tiempo. Seria costoso y llevara tiempo respaldar todas
las funciones en todos los departamentos.

Mandatos de los gerentes. Este mtodo asume que los gerentes conocen los
elementos crticos para mantener un aceptable nivel en la organizacin. La
identificacin de funciones crticas es hecha en base a la intuicin de los
gerentes. El beneficio de este mtodo es el tiempo que se ahorra durante la
fase inicial. Lo peligroso es que est basado en una intuicin y este no es un
anlisis riguroso.

Anlisis de riesgos financieros. Consiste en la determinacin de perdidas

financieras por cada funcin y proceso de la organizacin Esto se obtiene por

la determinacin de la probabilidad de un desastre y la prdida anual. Es

comparado con el nivel de perdida financiera aceptable para la organizacin.
Son crticos aquellos procesos de los que se esperan grandes prdidas. Sin
embargo, no se puede determinar exactamente el riesgo.

Anlisis del impacto en la organizacin. La metodologa del plan de

contingencias se basa en la tcnica de anlisis de impacto en la organizacin.
Para ello se distribuyen cuestionarios pares todos los departamentos de la
organizacin. Los cuestionarios para todos los departamentos de la
organizacin. Los cuestionarios completos y la informacin obtenida durante
las entrevistas definen los criterios para determinar los procesos crticos. Este
mtodo tal vez tome ms tiempo inicialmente que el de todos los procesos
son crticos. Sin embargo, disminuye considerablemente el tiempo y el
dinero cuando se desarrolla el plan de recuperacin.

9. A fin de contar con servicios de respaldos adecuados y reducir al

mnimo las restricciones de proceso que consideraciones se debe
tomar en cuenta

Mnimo de memoria principal requerida y el equipo perifrico que permita

procesar las aplicaciones esenciales

Se debe tener documentados los cambios de software

En caso de respaldo en otras instituciones, previamente se deber conocer

el tiempo de computadora disponible.

10. Qu puntos se deben incluir en el acuerdo de soporte reciproco

Configuracin de equipos

Configuracin de equipo de captacin de datos

Sistemas operativos

Configuracin de equipos perifricos.

UNIDAD 8. Seguridad fsica en el rea de informtica

1. Que es seguridad Fsica
Es la seguridad que establece polticas, procedimientos y prcticas para
evitar las interrupciones prolongadas del servicio de procesamiento de
informacin, debido a contingencias como incendio, inundacin, huelgas,
disturbios, sabotaje, terremotos, huracanes, etc., y continuar en un medio de
emergencia hasta que sea restaurado el servicio completo.

2. Un centro de cmputo debe prever espacio para lo siguiente

Almacenamiento de equipos magnticos

Formatos y papel para impresora

Mesas de trabajo y muebles

rea y mobiliario para mantenimiento

Equipo de telecomunicaciones

rea de programacin

Consolas del operador

rea de recepcin

Microcomputadoras

Fuentes de poder

Bveda de seguridad: Los archivos maestros y/o registros debern ser

guardados en una bveda anti incendio bajo mxima proteccin.

3. Mencione las condiciones que debe poseer el piso

El acabado del piso debe ser hecho con plstico antiesttico

La superficie del puso elevado debe tener 45cm de alto, cunado es usado
como cmara plena de aire acondicionado.

La altura del plafn, desde el piso falso terminado, debe ser de 2.4m.

Los paneles del piso elevado deben poder ser removidos fcilmente para
permitir la instalacin del cableado del sistema y ser de fcil limpieza con
trapo hmedo o aspiradora.

4. Qu condiciones debe poseer el aire acondicionado

Se recomienda verificar con el proveedor la temperatura mnima y mxima,

as como la humedad relativa en la que debern trabajar los equipos.

Los ductos de aire acondicionado deben estar limpios, ya que son una de las
principales causas de polvo.

Se deben instalar redes de proteccin en todo el sistema de ductos, tanto

exteriores como internos y deber de contarse con detectores de humo que
indiquen la posible presencia de fuego.

Se recomienda que la presin de aire en la sala de cmputo sea ligeramente

superior a la de las reas adyacentes, para reducir as la entrada de polvo y
suciedad.

5. Qu condiciones debe tener la instalacin elctrica y el suministro de

energa

Los cables del sistema elctrico deben estar perfectamente identificados

(positivos, negativos y tierra fsica, lo ms frecuentes es identificarlos por
colores (positivo, rojo).

Se debe contar con los planos de instalacin elctrica debidamente

actualizados.

Es altamente recomendado que el sistema elctrico utilizado en los equipos

de informtica cuente con tierra fsica, y de ser posibles sistemas de corriente
continua (no-break) y estn asilados con contactos independientes y
perfectamente identificados.

Se debe contar con una proteccin contra roedores o fauna nociva en los
cables del sistema elctrico y comunicaciones.

Se debe verificar y controlar que el nmero de equipos conectados sean

acordes con las cargas y especificaciones de los reguladores.

6. Que seguridad se debe tener contra los desastres provocados por agua

Se debe instalar detectores de agua o inundacin, as como bombas de

emergencia para resolver inundaciones inesperadas.

Poseer aspersores contra incendio especiales que no sean de agua.

Colocar el centro de cmputo en reas donde el riesgo de inundacin no

sea evidente.

7. Cul es la seguridad que se debe tener en cuanto al control de acceso

Es importante asegurarse que los controles de acceso sean estrictos durante
todo el da, uy que estos incluyan a todo el personal de la organizacin, en especial
los descansos y cambios de turno, es por esto que solamente el personal autorizado
por medio de una llave de acceso o por la gerencia debe ingresar a dichas
instalaciones. Se pueden usar los siguientes recursos:

Puerta con cerradura

Puerta de combinacin

Puerta electrnica

Puertas sensoriales

Registros de entrada.

Videocmaras.

Escolta controladora para el acceso de visitantes

Puertas dobles

Alarmas

8. Que condiciones de seguridad se debe tener en cuanto a temperatura y

humedad

Algunos equipos de cmputo necesitan de un sistema de aire

acondicionado diseado para estar en operacin constante, con base a
los siguientes parmetros:
o Disipacin Trmica(BTU)
o Movimientos de aire (CFM)
o Perdidas por trasferencia de calor.

Los cambios de temperatura durante la operacin del computador deben

ser disminuidos. La variacin cclica de temperatura sobre el rango
completo de operacin no debe realizarse en menos de ochos horas.

La disipacin termina, el movimiento de aire, as como los mnimos y

mximos de temperatura y humedad permitidos deben ser especificados
por el proveedor del equipo, aunque la temperatura ideal recomendada
es de 22C.

Se Recomienda que se instalen instrumentos registradores de

temperatura y humedad. Dichos instrumentos son necesarios para
proveer un continuo registro de las condiciones ambientales en el rea
del equipo.

9. Que elementos debe tener un plan de contingencia

1. Anlisis del impacto en la organizacin
2. Seleccin de la estrategia
3. Preparacin del plan
4. Prueba
5. Mantenimiento.

10. Que debe incluir el plan en caso de desastres

La documentacin de programacin y de operacin

Los equipos

El equipo completo

El ambiente de los equipos

Datos, archivos, papelera, equipo y accesorios

Sistemas (sistemas operativos, bases de datos, programas de utilera,

programas).

11. Que fuentes deben estar accesibles en los centros de procesamiento

de datos (CPD)
Las fuentes accesibles en todo centro de proceso de datos son:

Polticas, normas y planes sobre seguridad emitidos y distribuidos tanto por

la direccin de la empresa en trminos generales como por el departamento
de seguridad siguiendo un enfoque ms detallado.

Auditorias anteriores, generales y parciales, referentes a la seguridad fsica

o a cualquier otro tipo de auditoria que, de una u otra manera est
relacionado con la seguridad fsica.

Contratos de seguros de proveedores y de mantenimiento

Entrevistas con el personal de seguridad, personal informtico y de otras

actividades, responsables de seguridad de otras empresas dentro del edificio
y de la seguridad general del mismo, personal contratado para la limpieza y
mantenimiento de locales, etc.

Actas e informes de tcnicos y consultores. Peritos que diagnostiquen el

estado fsico del edificio, electricistas, fontaneros, tcnicos del aire
acondicionado, especialistas en electrnica que informen sobre la calidad y
estado de operatividad de los sistemas de seguridad y alarma, agencias de
seguridad que proporcionan a los vigilantes jurados, bomberos, etc.

Plan de contingencia y valoracin de las pruebas.

Informes sobre accesos y visitas. Existencias de un sistema de control de

entradas y salidas diferenciando entre reas perimetrales, interna y

restringida. Informes sobre pruebas de evacuacin antes diferentes tipos de

amenaza, informes sobre evacuaciones reales.

Polticas de personal. Revisin de antecedentes personales y laborales,

procedimientos de cancelacin de contratos y despidos, rotacin en el
trabajo, planificacin y distribucin de tareas, contratos fijos y temporales.

Inventarios de Soportes (papel y magnticos): cintoteca, back-up,

procedimientos de archivo, controles de salida y recuperacin de soportes,
control de copias, etc.

12. Mencione las fases de la auditora fsica

Fase 1: Alcance de la Auditoria
Fase 2: Adquisicin de Informacin General
Fase 3: Administracin y Planificacin
Fase 4: Plan de Auditoria
Fase 5: Resultado de las Pruebas
Fase 6: Conclusiones y Comentarios
Fase 7: Borrador del Informe
Fase 8: Discusin con los Responsables de rea
Fase 9: Informe Final.

13. Que tcnicas cree son las ms adecuadas en la auditora fsica.

Observacin de las instalaciones, sistemas, cumplimiento de normas y

procedimientos, etc. No solo como espectador sino tambin como actor,
comprobando por s mismo el perfecto funcionamiento y utilizacin de los
conceptos anteriores

Revisin analstica de:

Documentacin sobre construccin y preinstalaciones
Documentacin sobre seguridad fsica
Polticas y Normas de Actividad de Sala
Normas y Procedimientos sobre seguridad fsica de los datos
Contratos de seguros y de Mantenimiento

Entrevistas con directivos y personal, fijo o temporal, que no de la sensacin

de interrogatorio para vencer el natural recelo que el auditor suele despertar
en los empleados.

Consultas a tcnicos y peritos que formen parte de la plantilla o

independientes contratados.