Está en la página 1de 9
UNIVERSIDAD POLITECNICA DE NICARAGUA UPOLI María Angélica Quintana Miranda Kelvin Joel Morales Ramírez Miguel Antonio Hernández Méndez Docente: Lic. Claudia Benavidez Introducción: Para que la seguridad Física y lógica de la estructura informática no puede ser vulnerable debe existir un enlace entre la tecnología, el proceso y los usuarios o personas y que estos tres elementos funcionen de una manera coordinada. Las organizaciones son responsables de la protección de la información que gestionan ante las amenazas de este entorno y deben por todos los medios disponibles, garantizar su confidencialidad, integridad y disponibilidad. La seguridad no es un producto: Es un proceso. Un proceso continuo que debe ser controlado, gestionado y vigilado. Objetivo General: Entender el proceso de la auditoria de la seguridad Física, Seguridad Lógica y Seguridad de los datos. Objetivo Específico: Conocer como es el proceso de la auditoria de la seguridad de los datos 1. Seguridad Física: La seguridad física posee un valor fundamental dentro de la actividad empresarial en la actualidad, esta requiere de mucha atención, comprensión y de múltiples estrategias para mantenerla en la primera plana en la empresa. En general podemos decir que la seguridad física busca la continua protección del personal, de los bienes, de las instalaciones y por supuesto de los procesos de negocio de la empresa. Cuando mencionamos la protección de los bienes también se incluye una amplia apreciación de la parte informática, los recursos tecnológicos utilizados en sí, ya que estos son recursos de gran valor en la empresa. De tal forma debemos comprender que la seguridad física es y será parte esencial en una empresa, por tanto se tiene que tener un diseño de seguridad física efectivo para salvaguardar en gran parte todos estos recursos y al personar también. Para poder entender y saber que diseño de seguridad física es viable y tendrá los mejores resultados, sabemos que jugara una parte importante la auditoria de la seguridad física, en términos generales Piattini define que la auditoria en seguridad física tendrá como principales objetivos la evaluación de la protección física de los datos, programas, instalaciones, equipos, redes y soporte, Piattini describe también que la auditoria en seguridad física toma en cuenta al personal que labora en las distintas áreas de la empresa, en tal caso nos damos cuenta que se toman en cuenta distintos enfoques que van desde los recursos tecnológicos como tal, hasta los recursos humanos. En tal caso la auditoria en seguridad física evalúa que el personal este protegido, tomando en cuenta aspectos meramente estructurales y lógicos como: 1. Medidas de evacuación ante posibles catástrofes. 2. Sistemas de alarmas en toda la entidad. 3. Salidas de emergencias alternativas además de las preestablecidas. 4. Exposición a riesgos superiores a los admisibles en la entidad. Durante el proceso de auditoria en la seguridad física se toma en cuenta la protección especial de quienes están en el área o de aquellos daños que puedan afectar a los usuarios de los sistemas, vale recalcar que esto será así si estos entran en el proceso de auditoria como tal. No existe seguridad sin amenazas. En este caso Piattini recoge una serie de amenazas que afectan como tal de forma directa o indirecta a una entidad, para diferenciar a las amenazas, tenemos: Clasificación de amenazas Tipos de amenazas De carácter humano Sabotaje, vandalismo, terrorismo De carácter natural o climático Incendios, inundaciones, derrumbamientos, explosiones Error humano Errores, negligencias, averías importantes De carácter laboral Huelgas De carácter sanitario Epidemias, intoxicaciones En términos generales consideramos que el desarrollo de la auditoria en seguridad física dependerá de las circunstancias específicas de cada empresa o entidad, es decir, la auditoria se debe ajustar a las necesidades particulares que cada entidad tenga con respecto a la seguridad física o a la problemática de protección física que posea la entidad. Durante el desarrollo de una auditoria de seguridad física, debemos de tomar en cuenta los aspectos relacionados con la protección física, en general desde la perspectiva de la protección física encontramos: 1. La ubicación del centro de procesos, de los servidores locales, y en general de cualquier elemento que la entidad desee proteger. 2. Estructura, diseño, construcción, distribución de los edificios así como de sus plantas. 3. Riesgos a los que están expuestos, tanto por agentes externos, casuales o no, como por los accesos físicos no controlados. 4. Amenazas de fuego, riesgos por agua, riesgos atmosféricos, o por riesgos en la conducción, problema en el suministro de electricidad. 5. Se debe de tener en cuenta los controles preventivos, tomando como punto de partida los riesgos mencionados con anterioridad. 6. Se debe de controlar el contenido de bolsos, carteras, paquetes o cajas. Este control afectara a las visitas, proveedores, contratados, clientes y en general también a ex empleados ya que estos serán tratados como visitas a la entidad. 7. Protección a los datos que se encuentren almacenados en discos de carácter magnético, así como su posible transportación. En general debemos de tomar en cuenta que la mayoría de todos estos controles o aspectos de protección física pueden ser cubiertos o protegidos por medio de seguros que son contratados por la entidad, aun así cuando se incluyan en el proceso de auditoría de seguridad física. En conclusión el proceso que supone la realización de una auditoria de seguridad física no solamente toma en cuenta la protección de aquellos recursos de la entidad ajenos a la informática, a aquellos procesos de negocio de la entidad, toma en cuenta la protección de los recursos tecnológicos, esta incluye al personal de la entidad como, aspecto importante ya que en general el personal forma parte importante de la entidad. Podemos decir que la realización de auditorías de seguridad física es en esencia de gran importancia para la sostenibilidad de la entidad ya que esta nos ayudara a crear un diseño de seguridad física que permita la protección de todos los bienes sean tecnológicos o no, sino que también supondrá la protección de aquellos usuarios de los sistemas y del personal en general. 2. Seguridad Lógica Una auditoría de seguridad lógica se centra en auditar aspectos técnicos de la infraestructura en TIC, contemplando tantos aspectos de diseño de la arquitectura desde el punto de vista de seguridad, como aspectos relacionados con los mecanismos de protección desplegados para hacer frente a todo tipo de incidentes lógicos. La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y solo se permite el acceso a las personas autorizadas para hacerlo. La seguridad lógica se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, asi como la del acceso ordenado y autorizado de los usuarios a la información. El objetivo de la seguridad lógica es restringir el acceso a los programas y archivos, asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. Asegurar que se estén utilizando los datos, archivos y programas correctamente, que la información transmitida sea recibida solo por el destinatario a cuál ha sido enviada y no a otro y que sea la correcta. Algunas consecuencias y riesgos que podría sufrir una empresa sino realiza este tipo de auditoria: 1. Cambio de datos 2. Copias, robos o modificación de programas y/o información 3. Código oculto en un programa 4. Entrada de virus Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema. Los tipos de restricción de acceso a los datos son solo lectura, solo consulta, lectura y consulta, y la que se tiene todo el acceso a la información. El esquema de las rutas de acceso sirve para identificar todos los puntos de control que pueden ser usados para proteger los datos en sistemas. El auditor debe conocer las rutas de acceso para la evaluación de los puntos de control apropiados. Un área importante en la seguridad lógica de las claves de acceso de los usuarios. Existen diferentes métodos de identificación para el usuario: El password y el código de acceso. Los códigos de accesos pueden ser usados para controlar el acceso a la computadora, a sus recursos, asi como definir el nivel de acceso o funciones específicas. Siempre se ha recomendado que la contraseña tiene que ser altamente difícil de adivinar para otro usuario pero fácil para recordar por el dueño de esta y esto se pone en peligro cuando el usuario ha de identificarse en distintos sistemas, para lo que puede asignar la misma contraseña. En la auditoria debemos verificar que el proceso de alta de usuarios se realiza según la normativa en vigor, asi como la gestión posterior como variaciones y bajas. Otra posible debilidad que debe considerarse en la auditoria es si pueden crearse situaciones de bloqueo porque solo exista un administrador, que pueda que no este y este pueden impedir la creación de nuevos usuarios. En este caso se recomienda a otra persona que pueda utilizar el perfil del administrador para poder crear los usuarios y contraseñas para estos sistemas. 3. Seguridad de Datos Un dato en informática puede ser una letra o palabra que se suministra a la computadora como entrada y la maquina almacena en un determinado formato, posteriormente el dato será procesado con otros datos por la computadora que finalmente se le dará salida en determinado formato. Para las empresas la protección de los datos se ha convertido en la prioridad número uno, ya que para una empresa la perdida de estos seria como perder todos sus activos, lo cual sería trágico para cualquier entidad. Por esta razón las empresas invierten grandes sumas de dineros en sistemas de seguridad que garanticen que todos sus datos sean procesados y almacenados correctamente, buscando como evitar la pérdida de estos y además que sean datos íntegros. Una auditoria de seguridad de datos es una revisión que se aplica a una empresa para detectar si se cumple con todas las medidas que requiere la propia normativa de protección de datos. La cual indica que debe efectuarse cada dos años en toda empresa o entidad que trate datos a partir de nivel medio o cuando se haya producido un cambio estructural u organizativo importante. Datos de nivel medio y alto. Ahora la protección de los datos puede tener varios enfoque respecto a: la integridad, disponibilidad, confidencialidad, pueden haber varios tipos de dato, tantos personales, datos sensibles, datos de carácter públicos, datos electrónicos, etc. Ahora en cuanto al proceso de la auditoria de la seguridad de los datos, tenemos que el objetivo de este es verificar la adaptación de los ficheros automatizados de datos personales a las obligaciones impuestas. Toda auditoría de protección de datos debe seguir un desarrollo, a través de distintas fases que a continuación se detallan: 1ª Fase: Identificación de los datos personales En ella se obtiene el mayor volumen de información posible, necesaria para poder desarrollar y elaborar la Política de Seguridad a seguir, así como para desarrollar el resto de fases de la auditoría. Desde el origen de los datos que puede ser dentro o fuera de la entidad. En cuanto a la clasificación de los datos e información debe revisarse quien la ha realizado y según qué criterios y estándares. Es conveniente que se distingan por categorías, asociadas a áreas funcionales o proyectos. 2ª Fase: Nivel y medidas de seguridad aplicables Una vez analizada toda la información, se procede a la determinación del nivel de medidas de seguridad que debe ser adoptado, en función del tipo de datos personales contenidos en los ficheros. 3ª Fase: Entrega del informe de auditoría Llegado este momento, se redacta el Informe general de la Auditoría, en el que se detallan las medidas a adoptar. 4ª Fase: Ejecución de la Auditoria Finalmente se procede a la puesta en práctica de las medidas necesarias para la correcta adecuación a la normativa sobre protección de datos. También en esta auditoría, si entra en sus objetivos, se analizará la destrucción de la información clasificada: el tipo de destructora, tamaño de las particular y especialmente donde se almacenan hasta su destrucción, que puede ser un punto débil. Con la auditoria de la seguridad de los datos podemos detectar si todo el circuito de los datos de e personas, clientes, trabajadores, pacientes o cualquier dato asociado a una persona física que entre por uno u otro motivo en esa empresa, es tratado adecuadamente, con el objetivo de preservar, precisamente la protección de esos datos, es decir, la privacidad de esos datos. Averiguar cómo llegan o se recogen los datos de la persona; qué tratamiento se hace de ellos y cómo se archivan o almacenan esos datos; a quién se comunican y cómo, para garantizar que se esté haciendo un tratamiento adecuado. Conclusión: Bibliografía: Libro de Auditoria Informática Mario Piatini pag. 400 - 405