CAPITULO Nº 03

METODOLOGÍAS DE CONTROL
INTERNO, SEGURIDAD Y
AUDITORÍA INFORMÁTICA
3.1. INTRODUCCIÓN A LAS METODOLOGÍAS

Metodología: Conjunto de métodos que se siguen en una

investigación científica o en una exposición doctrinal.

Las Metodologías usadas por un profesional dicen mucho de su

forma de entender su trabajo y están directamente relacionadas con
su experiencia profesional acumulada como parte del
comportamiento humano de acierto/error.

La metodología es necesaria para que un equipo de profesionales

alcance un resultado homogéneo tal como si lo hiciera una solo, por
lo que resulta habitual el uso de metodologías en las empresas
auditoras/consultoras.
3.1. INTRODUCCIÓN A LAS METODOLOGÍAS

Seguridad de los Sistemas de Información: es la doctrina

que trata de los riesgos informáticos o creados por la
informática.

La informática crea unos riesgos informáticos de los que hay que

proteger y preservar a la entidad con un entramado de
contramedidas, y la calidad y la eficacia de las mismas.

Para explicar este aspecto diremos que cualquier contramedida

nace de la composición de varios factores expresados en el
siguiente grafico:
3.1. INTRODUCCIÓN A LAS METODOLOGÍAS

NORMATIVA, debe definir todo lo

NORMAS que debe existir y ser cumplido
tanto desde el punto de vista
ORGANIZACION conceptual, cómo práctico.
METODOLOGÍA ORGANIZACIÓN, es la que
integran personas con funciones
OBJETIVOS DE CONTROL específicas y con actuaciones
concretas; éste es el aspecto más
PROCESAMIENTO importante, dado que in él, nada es
posible.
TECNOLOGIAS DE SEGURIDAD
METODOLOGÍAS, son necesarias
para desarrollar cualquier proyecto
HERRAMIENTAS DE que nos propongamos de manera
CONTROL ordenada y eficaz.
3.1. INTRODUCCIÓN A LAS METODOLOGÍAS

OBJETIVOS DE CONTROL, son

NORMAS
los objetivos a cumplir en el control
de procesos , este es el segundo
ORGANIZACION más importante.
METODOLOGÍA PROCESAMIENTO, son los
procedimientos operativos de las
OBJETIVOS DE CONTROL distintas áreas de la empresa, la
tendencia habitual de los
PROCESAMIENTO informáticos es la de dar más peso
a las herramientas que al control o
TECNOLOGIAS DE SEGURIDAD contramedida, pero no debemos
olvidar que: “UNA HERRAMIENTA
HERRAMIENTAS DE NUNCA ES UNA SOLUCION SINO
CONTROL UNA AYUDA PARA CONSEGUIR
UN CONTROL MEJOR”
3.1. INTRODUCCIÓN A LAS METODOLOGÍAS

TECNOLOGÍAS DE SEGURIDAD,
NORMAS
es donde están todos los elementos
ya sean Hardware o software, que
ORGANIZACION ayudan a controlar un riesgo
informático.
METODOLOGÍA

OBJETIVOS DE CONTROL
LAS HERRAMIENTAS DE
PROCESAMIENTO CONTROL, son elementos software
que permiten definir uno o varios
procedimientos de control para
TECNOLOGIAS DE SEGURIDAD
cumplir una normativa y un objetivo
de control
HERRAMIENTAS DE
CONTROL
3.1. INTRODUCCIÓN A LAS METODOLOGÍAS

• Plan de Seguridad: es una estrategia planificada de acciones y

productos que lleven a un sistemas de información y sus centros de
proceso de una situación inicial determinada a una situación mejorada.
en el siguiente grafico se observará la tendencia actual en la
organización de la seguridad de sistemas en la empresa.
Organización Interna de la Seguridad Informática
Comité de Seguridad de la Información
Seguridad corporativa
Control Interno
Auditoria Informática
Dpto. de Informática
Plan Auditor
Dpto. de Usuarios
Dirección del plan de seguridad

Control Informático
Responsable de Ficheros
 3.2 Metodologías de
Evaluación de Sistemas
3.2.1 Conceptos Fundamentales

 Análisis de Riesgos

 Auditoria Informática
 3.2.1 Conceptos Fundamentales

Definiciones para profundizar las

metodologías

Amenaza
Vulnerabilidad
Riesgo
Exposición o Impacto
3.2.1 Conceptos Fundamentales

Todos los riesgos que se presentan

podemos:

Evitarlos
Transferirlos
Reducirlos
Asumirlos
3.2.2 Tipos de Metodologías

3.2.2.1 Metodologías cuantitativas

Basadas en un modelo matemático
numérico que ayuda a la realización de
trabajo.
3.2.2.1 Metodologías Cualitativas/Subjetivas
Basadas en métodos estadísticos y raciocinio humano.
Precisan de la involucración de un profesional
experimentado. Pero requieren menos recursos
humanos que las metodologías cuantitativas.
CUANTITATIVA CUALITATIVA / SUBJETIVA

P Enfoca pensamientos mediante el uso de números. Enfoca lo amplio que se desee.

R Facilita la comparación de vulnerabilidades muy Plan de trabajo flexible y reactivo.
O distintas . Se concentra en la identificación de eventos.
S Proporciona una cifra “justificante” para cada Incluye lectores intangibles.
copntramedida
C Estimación de probabilidad depende de estadísticas Dependencia fuertemente de la habilidad y calidad
O fiables inexistentes. del personal involucrado.
N Estimación de las perdidas potenciales solo si son Puede excluir riesgos significantes desconocidos
T valores cuantificables. (depende de la capacidad del profesional para
Metodologías estándares. usar el check-list/guía).
R
Difíciles de mantener o modificar. Identificación de eventos reales más claros al no
A tener que aplicarles probabilidades complejas de
Dependencia de un profesional.
S calcular.
Dependencia de un profesional.
3.2.1 Metodologías más comunes

3.2.3.1 Metodologías de Análisis de Riesgos

Funcionamiento Esquemático básico de cualquier paquete

Etapa 1
Cuestionario

Identificar los riesgos Etapa 2

Calcular el impacto Etapa 3

Identificar las contramedidas y el coste Etapa 4

Simulaciones Etapa 5

Creación de los informes Etapa 6

3.2.1 Metodologías más comunes

3.2.3.1 Metodologías de Análisis de Riesgos

De forma genérica las metodologías existentes

se diferencian en:
• Si son cuantitativas o cualitativas, o sea si para
el “Qué pasa sí…?” utilizan un modelo
matemático o algun sistema cercano a la
elección subjetiva.
• Y además se diferencian en el propio sistema
de simulación.
Tipos de metodologías de análisis de riesgo
se considera la frecuencia, esta basada
en las diferentes bitácoras, logs y
Metodologías cuantitativas : reportes de incidentes. El impacto se
determina en forma cuantitativa (valores
Económicos). Lo ideal es poder
Basadas en FIPS 65 expresar el impacto en términos económicos.
Método de IBM :
basado en técnica de DELPHI = consenso de expertos para
determinar los costos.
RISKCALC
BDSS
Metodologías cualitativas:

LAVA: Los Alamos Vulnerability/ Risk Assessment

RISKPAC No se tiene en cuenta la frecuencia para valorar los riesgos.
MARION La tabla muestra un claro ejemplo donde se emplea una
CRAMM matriz impacto/posibilidad de ocurrencia de una amenaza para
determinar el nivel de riesgo que se tiene.
Probabilidad de ocurrencia "Aquí el riesgo indica las pérdidas ante la posibilidad de
presentarse la amenaza

A =riesgos que requieren pronta atención,

B =no es prioritario la toma de medidas
 Tipos de metodologías de análisis de riesgo

 Marion-Francia

Método de evaluación que ofrece dos productos:

 Marion AP+ Sistemas individuales

 Marion RSX Sistemas distribuidos

Método cuantitativo basado en una encuesta anual al CLUSIF(base de

Incidentes francesa)

* No contempla probabilidades.
* Contempla esperanzas matemáticas (aprox. numéricas)
 Tipos de metodologías de análisis de riesgo

Marion

Comprende seis etapas:

1. Identificar los incidentes e impactos sobre el SI.
2. Decidir la perdida máxima aceptable y por lo tanto los
incidentes a cubrir.
3. Estimar la calidad de medidas de seguridad existentes (a partir
de una lista cuestionario), identificando vulnerabilidades y
contra-medidas a implementar.
4. Identificar los factores financieros que dificulten la
implementación de las contra-medidas.
5. Producir una lista priorizada de contra-medidas
6. Desarrollar un plan de acción.

Presenta resultados en forma gráfica, tabular y provee un

gestionador del proyecto de seguridad.
 Tipos de metodologías de análisis de riesgo

Marion

 Utiliza cuestionarios para valorar la seguridad

(SI=4,NO=0,No_aplicable=3).
 Parámetros correlacionados (representan graf. Distintas soluciones de
contramedidas) en cada uno de los factores(27 en 6 categorías)
 categoría de factores
1. Seguridad informática general
2. Factores socioeconómicos
3. Concienciación sobre la seguridad de soft
4. Concienciación sobre la seguridad de materiales.
5. Seguridad en explotación.
6. Seguridad en desarrollo.
 Tipos de metodologías de análisis de riesgo

Marion

Valores de ponderación para diferentes sectores (ejemplos):

Sector CATEGORÍ
CATEGORÍA
1 Establecimientos financieros

bancos

Agricultura

Energí
Energía
2
Construcció
Construcción

Metalú
Metalúrgica

3 Transporte

Comercio

Hospedaje
Tipos de metodologías de análisis de riesgo

Marion

El análisis de riesgo lo hace bajo 10 áreas problemas:

Riesgos materiales
Sabotajes físicos
Averías
Comunicaciones.
Errores de desarrollo
Errores de explotación
Fraude
Robo de información
Robo de software
Problemas de personal.
Tipos de metodologías de análisis de riesgo
Marion
Tipos de metodologías de análisis de riesgo

Marion

Nota:
- Las pérdidas posibles no deben nunca sobrepasar el “VALOR DE
RIESGO MAXIMO ADMISIBLE”

Valor dado por un

estudio del banco de
Francia para las distintas
áreas sectoriales
 Tipos de metodologías de análisis de riesgo

 RISCKPAC

Metodología aplicada en Herramientas de software

Profile Analysis Corporation

con DATAPRO(1994)

 enfoque cualitativa subjetiva  procesadores de texto

 resultados exportables a  BD.
 Hojas de cálculo
 sistemas gráficos
Tipos de metodologías de análisis de riesgo

 RISCKPAC
Calcula para cada aplicación un factor de riesgo:
1= nominal, ..., 5 = catastrofe.
Facilidades
Del sistema

estructurada  Entorno Hardware

como cuestionario  Procesador Amb. Físico
Comunicación
en 3 niveles  Aplicaciones acceso

Riesgos relacionados
Integridad, fraude
Lógica de control
divididos en 26 De acceso

categorías de
Riesgo en cada nivel
 Tipos de metodologías de análisis de riesgo

 CRAMM-Reino Unido

 Desarrollado en 1985-1987 por BIS y CCTA(Central Computer&

Telecomunication Agency Risk Analisis & Management Method, England)
 Implantado en mas de 750 Org. En europa
 Metodología cualitativa y permite hacer análisis (que pasa si?)

 PRIMA (Prevención de Riesgos Informáticos con Metodología Abierta)

 metodología española(1990)
 enfoque subjetivo
 Características
 Cubrir necesidades de los proyectos de un plan de seguridad
 Adaptable
 Cuestionarios para identificar fallas de controles
 Proporciona un sistema de ayuda
 Informes finales
 Lista de ayuda y cuestionarios son abiertos
 Tipos de metodologías de análisis de riesgo
Identificación de
Toma de acción Amenazas
debilidades
Vulnerabilidades

Análisis del impacto

Ponderación
Y riesgo

Definición de
contramedidas

Prioridad
Costo valoración de
Dificultad contramedidas
duración

Preparación del
Plan de acción

Riesgos
Plan de acción
Plan de proyectos Informe final

Fases de la metodología
PRIMA
 Plan de Contingencia

Contingencia: evento posible pero no muy probable.

(antes) Plan de recuperación ante desastre.
(ahora) Plan de continuidad del negocio.

Estadísticas: 90% de empresas victimas de un desastre

dejan de existir después de 18 meses.

Casos más típicos:

Fuego, Pérdida de personal, caída de sistema crítico.

Plan de contingencia: Estrategia planificada

Anticipar problemas conflictivos y resolverlos. formado por un
conjunto de respaldos,
Identificar individuos claves.
Procedimientos de
Aspectos geográficos. Emergencias para
Factor de Confianza. Recuperar la continuidad
Del negocio
 Plan de Contingencia
Fases
I. Análisis y Diseño

 Estudia la problemática, alternativas de respaldo

 se analiza el costo/beneficio de las mismas
 Existen dos metodologías para desarrollar esta fase
1. Identificar amenazas
2. Análisis de probabilidad de amenaza
 RISK ANALISIS 3.
4.
Selección de amenazas
Entornos amenazados
(posibles riesgos) 5.
6.
Servicios afectados
Estimación del impacto económico/servicio afectado
7. Servicios a cubrir
8. Selección del ámbito del plan
9. Alternativa para los entornos
10. Selección de alternativas
11. Diseño de estrategias de respaldo
12. Selección de estrategias de respaldo

1. Identificar servicios finales

2. Análisis del impacto (daños económicos)
3. Selección de servicios críticos
 BUSINESS IMPACT 4. Recursos de soporte
5. Alternativas para entornos
(impacto económico) 6. Selección de alternativas
7. Diseño de estrategias de respaldo
8. Selección de estrategias de respaldo
 Plan de Contingencia

II. Desarrollo del Plan

Desarrollo de la estrategia seleccionada

Desarrollo de procedimientos de acción

III. Pruebas y Mantenimiento

Se definen las pruebas, sus características y ciclos

Se define la estrategia de mantenimiento

Herramientas
Deben contener:
•BD relacional * Generador de informes
•Módulos de entrada * ayuda,etc
•Módulos de consulta
•Procesador de textos
Herramienta-Meycor Cobit
Herramienta-Meycor Cobit
Herramienta-Meycor Cobit
METODOLOGIAS DE AUDITORIA
INFORMATICA
Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los
auditores financieros para que puedan utilizar los sistemas de información para sus
dictamenes.

Auditoria Financiera.- Dictamen sobre los estados de cuentas que utiliza

herramientas de Sw de ayuda.

Las metodologías de auditoria informatica son del tipo cualitativo/subjetivo; estan

basadas en profesionales de experiencia y formación
Existen dos metodologias de Auditoria Informática:

‑Auditorias de Controles Generales y

‑Metodologías de Auditores Internos
METODOLOGIAS DE AUDITORIA
INFORMATICA
 Auditorias de Controles Generales “Dan una opinion
sobre la habilidad de los datos del computador para la Auditoria
financiera” cuyo resultado es un informe donde se destacan las
vulnerabilidades encontradas.
Tiene apartados para definir “pruebas” y anotar sus resultados.

 Auditorias Internas .- Esta formada por recomendaciones

de Plan de trabajo; deberá hacer cuestionarios y definir cuantas
pruebas estime oportunas; además debe crear sus metodologías
necesarias para auditar áreas o aspectos que defina en el plan
auditor.
EL PLAN AUDITOR INFORMATICO

Es el esquema mas importante del auditor informatico

Las partes con las que cuenta un plan auditor informatico son:
- Funciones
- Procedimientos para las distintas tareas de las auditorias
- Tipos de auditoria
- Sistema de evaluación
- Nivel de exposición
- Lista de distribución de informes
- Seguimiento de acciones correctorias
- Plan quincenal
- Plan de trabajo anual
AUDITORIA INTERNA Y EXTERNA

La auditoria interna es la realizada con recursos materiales y personas que

pertenecen a la empresa auditada , ésta existe por expresa decisión de la
empresa.

Ventajas de la auditoria interna

• Puede actuar periódicamente realizando Revisiones globales, como parte de
su Plan Anual y de su actividad normal.
• Los auditados conocen estos planes y se habit úan a las Auditorias,
especialmente cuando las consecuencias de las Recomendaciones habidas
benefician su trabajo.

Por otro lado, la auditoria externa es realizada por personas afines a la

empresa auditada; se presupone una mayor objetividad que en la Auditor ia
Interna, debido al mayor distanciamiento entre auditores y auditados.
AUDITORIA INTERNA Y EXTERNA

Una Empresa o Institución que posee auditoria interna puede y

debe en ocasiones contratar servicios de auditoria externa. Las
razones para hacerlo suelen ser:
 
- Necesidad de auditar una materia de gran especialización, para
la cual los servicios propios no están suficientemente capacitados.
 
- Contrastar algún Informe interno con el que resulte del externo,
en aquellos supuestos de emisión interna de graves
recomendaciones que chocan con la opinión generalizada de la
propia empresa.  
- Es necesario que se le realicen auditorías externas como para
tener una visión desde afuera de la empresa.  
 3.5 CONTROL INTERNO INFORMÁTICO. SUS MÉTODOS Y
PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL
3.5.1 La función del control automático independiente, debe ser independiente del departamento
controlado
- El área informática monta los procesos informáticos seguros.
- El control interno monta los controles.
-La auditoria informática evalúa el grado de control
LA AUDITORIA INFORMÁTICA
-Tiene la función de vigilancia y evaluación mediante dictámenes y todas sus metodologías van
encaminadas a esta función.
-Tiene sus propios objetivos distintos a los auditores de cuentas aunque necesarios para que
éstas puedan utilizar la información de sus sistemas para sus evaluaciones financieras y
operativas. Evalúan eficiencia, costo y seguridad en su más amplia visión, esto es todo los riesgos
informativos y ya sean los clásicos (confidencialidad, integridad y disponibilidad) o los costos y los
jurídicos, dado que ya no hay una clara separación en la mayoría de los casos.
-Operan según el plano auditor
-Utilizan metodologías de evaluación de tipo cualitativo.
-Establecen planes quinquenales como ciclos completos
-Sistemas de evaluación de repetición de la auditoria por nivel de exposición del área auditada y
el resultado de la última auditoria de ésta área.
-La función de soporte informático de todos los auditores (opcionalmente), aunque dejando claro
que no se debe pensar con esto que la auditoria informática consiste en esto solamente.
CONTROL INTERNO INFORMÁTICO. SUS MÉTODOS Y
PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL

CONTROL INFORMÁTICO
- Tiene funciones propias (administración de la seguridad lógica, etc)
- Funciones de control dual con otros departamentos
- Funciones normativas y del cumplimiento del marco jurídico.
- Operan según procedimientos de control en los que se ven involucrados y que luego desarrollarán.
- Al igual que en la auditoria y de forma opcional puede ser el soporte informático de control interno
no informático

FUNCIONES DE CONTROL INTERNO

- Más comunes
- Definición de propietarios y perfiles según “clasificación de la información” (utilizando metodología)
- Administración delegada en control dual (dos personas intervienen en una acción) como medida de
control de la seguridad lógica .
- Responsable del desarrollo y actualización del plan de contingencias, manuales, procedimientos y
plan de seguridad.
- Promueve el plan de seguridad informático al comité de seguridad.
- Dictar normas de seguridad informática.
- Definir los procedimientos de control.
- Control del entorno.
- Control de soporte magnético según clasificación de la información.
- Control de soporte físico (listado, etc)
CONTROL INTERNO INFORMÁTICO. SUS MÉTODOS Y
PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL

FUNCIONES DE CONTROL INTERNO

- Control de información comprometida o sensible.
- Control de micro informática y usuarios
- Control de calidad de software
- Control de calidad del servicio informático
- Control de costes
- Responsable del departamento (gestión de recursos humanos y técnicos)
- Control de licencias y relaciones contractuales con terceros.
- Control y manejo de claves de cifrado
- Relaciones externas con entidades relacionadas con la seguridad de la información.
- Definición de requerimientos de seguridad de proyectos nuevos.
- Vigilancia del cumplimiento de las normas y controles.
- Control de cambios y versiones
- Control de paso de aplicaciones a explotaciones
- Control de medidas de seguridad física o corporativa en la informática
- Responsable de datos personales (LOPD y código penal)
- Otros controles que se designen
- Otras funciones que se designen.
CONTROL INTERNO INFORMÁTICO. SUS MÉTODOS Y
PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL

- El objetivo es de que exista una “actuación segura” entre los usuarios, la informática y control
interno. Todos ellos auditados por auditoria informática
- El “plan de Seguridad Informatica” tiene 2 proyectos de vital importancia “clasificación de la
información” (B) y “procedimientos de control “ (C)

Análisis de Contramedida
A riesgo 1

Objetivo de
Clasificación control
B de la Plan de
información Contramedida acciones
tecnología 2
Objetivo de
Control 1
Contramedida
C
Objetivo de 3
Control 2
3.5.2 METODOLOGÍAS DE CLASIFICACION DE LA
INFORMACION Y DE OBTENCION DE LOS PROCEDIMIENTOS
DE CONTROL
CLASIFICACION DE LA INFORMACION.- Metodología “PRIMA”

• “SI IDENTIFICAMOS DISTINTOS NIVELES DE CONTRAMEDIDIAS PARA

DISTINTSAS ENTIDADES DE INFORMACIÓN CON DISTINTOS NIVELES DE
CRITICIDAD, ESTAREMOS OPTIMIZAMOS LA EFICIENCIA DE LAS
CONTRAMEDIDAS Y REDUCIENDO LOS COSTOS DE LAS MISMAS”.
• ENTIDAD DE INFORMACIÓN.- ES EL OBJETIVO A PROTEGER EN EL ENTORNO
INFORMÁTICO Y QUE LA CLASIFICACIÓN DE LA INFORMACIÓN AYUDA A
PROTEGER, ESPECIALIZANDO LAS CONTRAMEDIDAS SEGÚN EL NIVEL DE
CONFIDENCIALIDAD O IMPORTANCIA QUE TENGAN.

• METODOLOGÍA DEL TIPO CUALITATIVO/SUBJETIVO CON JERARQUÍAS QUE

SEGÚN SEAN PRESERVACIÓN: VITAL-CRITICA –VALUADA -NO SENSIBLE. O
PROTECCIÓN: ALTAMENTE CONFIDENCIAL-CONFIDENCIAL-RESTRINGIDA -NO
SENSIBLE. “PRIMA” DEFINE BASICAMENTE:
- ESTRATEGICA (MUY CONFIDENCIAL, MUY RESTRINGIDA)
- RESTRINGIDA (A LOS PROPIETARIOS DE LA INFORMACIÓN)
- DE USO INTERNO (A TODOS LOS EMPLEADOS)
- DE USO GENERAL (SIN RESTRICCIÓN)
 LOS PASOS DE LA METODOLOGÍA SON LOS SIGUIENTES:
1. Identificación de la información
2. Inventario de entidades de información residentes y operativas
3. Identificación de propietarios
4. Definición de jerarquías de información
5. Definición de la matriz de clasificación
6. Confección de la matriz de clasificación
7. Realización del plan de acciones
8. Implantación y mantenimiento

OBTENCIÓN DE LOS PROCEDIMIENTOS DE CONTROL:

METODOLOGÍA:
Fase 1.- Definición de objetivos de control:
- Tarea 1: Análisis de la empresa
- Tarea 2: Recopilación de estándares
- Tarea 3: Definición de los objetivos de control
Fase 2.- Definición de los controles:
- Tarea 1: Definición de los controles
- Tarea 2: Definición de necesidades tecnológicas
- Tarea 3: Definición de los procedimientos de control
- Tarea 4: Definición de las necesidades de recursos humanos
Fase 3: Implantación de los controles:
- Procedimientos propios de control de la actividad informática
- Procedimiento de distintas áreas usuarias de la informática, mejorados
- Procedimientos de áreas informáticas mejorados
- Procedimiento de control dual entre control interno informática y el área informática, los usuarios
informáticos y el área de control no informático.

3.5.3 LAS HERRAMIENTAS DE CONTROL

Las herramientas de control (software) más comunes son:

- Seguridad lógica del sistema
- Seguridad lógica complementaria al sistema
- Seguridad lógica para entornos distribuidos. Control de acceso físico
- Control de copias
- Gestión de soportes magnéticos
- Gestión y control de impresión y envíos de listados por red.
- Control de proyectos
- Control de versiones
- Control y gestión de incidencias
- Control de cambios
- Etc.
 OBJETIVOS DE CONTROL DE ACCESO LOGICO

• Segregación de funciones entre los usuarios del sistema s productores de software,

jefes de proyecto, técnico de sistemas, operadores de explotación, operadores de
telecomunicaciones, grupo de usuarios de aplicaciones, administrador de la seguridad
lógica, auditoria, y tantos como se designen.
• Integridad de los “LOG” e imposibilidad de desactivarlos por ningún perfil para poder
revisarlos .
• Gestión centralizada de la seguridad o al menos única.
• Contraseña única para los distintos sistemas de la red y la autentificación de entrada
una sola vez. Y una vez dentro, controlar los derechos de uso.
• La contraseña y archivos con perfiles y derechos y la inaccesibles a todos, incluso a
los administradores de seguridad.
• El sistema debe rechazar a los usuarios que no usan la clave del sistema
correctamente, inhabilitando y avisando a control que tomará las medidas oportunas.
• Separación de entornos
• El LOG o los LOGs de actividad no podrán desactivarse a voluntad, y si se duda de su
integridad o carencia, resolver con un terminal externo controlado.
• El sistema debe obligar al usuario a cambiar la contraseña, de forma que sólo la
conozca él, que es la única garantía de autenticidad de sus datos.
• Es frecuente encontrar mecanismos de auto-LOGOUT, que expulsan del sistema la
terminal que permanece inactiva más de un tiempo determinado.
 ¿ESTÁ CONTROLADA LA SEGURIDAD LÓGICA EN LA ACTUALIDAD? ¿SE CUMPLE EL
MARCO JURÍDICO SIN SEGURIDAD LÓGICA?; LA FORMA MÁS APROPIADA DE RESOLVER
ESTE PROBLEMA ES UTILIZAR UN MÉTODO PRÁCTICO QUE DESARROLLAREMOS:

• ANÁLISIS DE PLATAFORMA

• CATÁLOGO DE REQUERIMIENTO PREVIOS DE IMPLANTACIÓN

• ANÁLISIS DE APLICACIONES

• INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS

(en este punto trataremos todo el esquema de funcionalidades de la seguridad lógica actual; crear
nuevas jerarquías de estándares a cumplir y tratar de definir los controles que se deberían tener, ya
sea de usuario de las aplicaciones como de los usuarios de los sistemas y el uso de las herramientas)

• ADMINISTRACIÓN DE LA SEGURIDAD ; nos interesa ver las siguientes funcionalidades u

objetivos de control requeridos al nuevo sistema de control de acceso:

- ¿Permite el producto establecer un conjunto de reglas de control aplicables a todos los recursos del
sistema?
- ¿Permite el producto al administrador de seguridad establecer un perfil de privilegios de acceso para
un usuario o grupos de usuarios
- ¿Permite el producto al administrador de seguridad asignar diferentes administradores?
- ¿Permite el producto al administrador de seguridad asignar a estos administradores la
responsabilidad de gestionar privilegios de acceso para grupos y recursos definidos?
- ¿Permite a un administrador pedir acceso para él mismo, tanto como para cualquier usuario de su
área de responsabilidad?
- ¿impide el producto que un administrador se provea él mismo de sus propias peticiones?
FACTORES

 GESTIÓN Y ADMINISTRACIÓN DE LA SEGURIDAD

 SINGLE SIGN-ON
 FUNCIONALIDADES DE LA RED
 SEGURIDADES

¿SE PUEDEN CONSEGUIR LOS OBJETIVOS DE CONTROL? USUARIO

USUARIO

RED

ADMINISTRACION
ADMINISTRACION
• SINGLE SIGN ON
(que es necesario sólo un password y un user ID para un usuario acceder y usar su información
y sus recursos de todos los sistemas como si de un solo entorno se tratara)
• FACILIDADES DE USO Y REPORTING
(se valora la interfase de usuario y la calidad de la misma)
• SEGURIDADES
(se trata de ver aspectos de seguridad clásico del propio producto como que el administrador no
vea los password de los usuarios, longitud del password mínimo, que el producto requiera un ID
y password de longitud mínima para el acceso del propio producto etc.)
• ADQUISICION, INSTALACION E IMPLANTACION , FORMACION DE MANUALES DE
PROCESAMIENTO DE CONTROL
PORCENTAJE DE PARTICIPACIÓN

Apellidos y Nombres %

• DIAZ ESTRADA, Diana Margarita 100

• FLORES JOSEPH, Hugo 100
• FLORES SALDAÑA, León 100
• NAVARRO SOLSOL, Linda 100
• SALINAS MENDOZA, Evelina G. 100