Analisis Capitulo 6 Auditoria Informatica

INDICE

Introducción……………………………………………………………….…………… 2

Seguridad Lógica y Confidenciabilidad……………………………………………… 3

Seguridad Lógica……………………………………………………………………… 6

Riesgos y Controles a Auditar…..……………………………………….…….…….. 11

Encriptamiento…..…………………………………………………..……..………….. 14

Seguridad del Personal…...………………………………………..…………..…….. 16

Seguridad Física…………...………………………………………..…………..…….. 20

Seguridad Contra Virus…...………………………………………..………..……….. 25

Seguros………………..…...………………………………………..………..……….. 28

Seguridad en la Utilización de los Equipos….…………………..………..……….. 29

Seguridad al Restaurar el Equipo…………….…………………..……..………….. 30

Plan de Contingencia y Procedimientos de Respaldo para Casos de Desastres…………………………………………………………………..………….. 31

Análisis Grupal del Capítulo………………….…………….……..……......……….. 33

Conclusión………………….………………….…………….……..…..………….….. 34

INTRODUCCION

Para muchos la seguridad sigue siendo el área principal a auditar, hasta el punto de que en algunas entidades se creó inicialmente la función de auditoría informática para revisar la seguridad, aunque después se hayan ido ampliando los objetivos.

Ya sabemos que puede haber seguridad sin auditoría, puede existir auditoría de otras áreas, y queda un espacio de encuentro: la auditoría de la seguridad y cuya área puede ser mayor o menor según la entidad y el momento.

Lo cierto es que cada día es mayor la importancia de la información, especialmente relacionada con sistemas basados en el uso de tecnologías de la información y comunicaciones, por lo que el impacto de los fallos, los accesos no autorizados, la revelación de la información, y otras incidencias, tienen un impacto mucho mayor que hace unos años. De ahí la necesidad de protecciones adecuadas que se evaluarán o recomendarán en la auditoría de seguridad.

También es cierto que en muchos casos tan necesario o más que la protección de la información puede ser que las inversiones en sistemas y tecnologías de la información estén alineadas con las estrategias de la entidad, huyendo del enfoque de la tecnología por la tecnología.

SEGURIDAD LOGICA Y CONFIDENCIABILIDAD

La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional.

Esta información puede ser de suma importancia y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. Antes esta situación, en el transcurso del siglo XX, el mundo ha sido testigo de la transformación de algunos aspectos de seguridad y de derecho.

En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar el llamado ''virus'' de las computadoras, el cual aunque tiene diferentes intenciones se encuentra principalmente para paquetes que son copiados sin autorización ("piratas") y borra toda la información que se tiene en un disco.

Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus.

El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos.

El sistema integral de seguridad debe comprender:

• Elementos administrativos.

• Definición de una política de seguridad.

• Organización y división de responsabilidades.

• Seguridad física y contra catástrofes (incendio, terremotos, etc.)

• Prácticas de seguridad del personal.

• Elementos técnicos y procedimientos.

• Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.

• Aplicación de los sistemas de seguridad, incluyendo datos y archivos.

• El papel de los auditores, tanto internos como externos.

• Planeación de programas de desastre y su prueba.

Se debe evaluar el nivel de riesgo que puede tener la información para poder hacer un adecuado estudio costo/beneficio entre el costo por pérdida de información y el costo de un sistema de seguridad, para lo cual se debe considerar lo siguiente:

• Clasificar la instalación en términos de riesgo (alto, mediano, pequeño).

• Identificar aquellas aplicaciones que tengan un alto riesgo.

• Cuantificar el impacto en el caso de suspensión del servicio en aquellas aplicaciones con un alto riesgo.

• Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera.

La justificación del costo de implantar las medidas de seguridad para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente:

¿Qué sucedería si no se puede usar el sistema?

Si la primera respuesta es que no se podría seguir trabajando, esto nos sitúa en un sistema de alto riego.

La siguiente pregunta es:

¿Qué implicancias tiene el que no se obtenga el sistema y cuanto tiempo podríamos estar sin utilizarlo?

¿Existe un procedimiento alterno y que problemas nos ocasionaría?

¿Que se ha hecho para un caso de emergencia?

Una vez que se ha definido, el grado de riesgo, hay que elaborar una lista de los sistemas con las medidas preventivas que se deben tomar, así como las correctivas en caso de desastre señalándole a cada uno su prioridad.

Hay que tener mucho cuidado con la información que sale de la oficina, su utilización y que sea borrada al momento de dejar la instalación que está dando respaldo.

Para clasificar la instalación en términos de riesgo se debe:

• Clasificar los datos, información y programas que contienen información confidencial que tenga un alto valor dentro del mercado de competencia de una organización, e información que sea de difícil recuperación.

• Identificar aquella información que tenga un gran costo financiero en caso de pérdida o bien puede provocar un gran impacto en la toma de decisiones.

• Determinar la información que tenga una gran pérdida en la organización y, consecuentemente, puedan provocar hasta la posibilidad de que no pueda sobrevivir sin esa información.

Para cuantificar el riesgo es necesario que se efectúen entrevistas con los altos niveles administrativos que sean directamente afectados por la suspensión en el procesamiento y que cuantifiquen el impacto que les puede causar este tipo de situaciones.

Para evaluar las medidas de seguridad se debe:

• Especificar la aplicación, los programas y archivos.

• Las medidas en caso de desastre, pérdida total, abuso y los planes necesarios.

• Las prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo.

En cuanto a la división del trabajo se debe evaluar que se tomen las siguientes precauciones, las cuales dependerán del riesgo que tenga la información y del tipo y tamaño de la organización.

• El personal que prepara la información no debe tener acceso a la operación.

• Los análisis y programadores no deben tener acceso al área de operaciones y viceversa.

• Los operadores no deben tener acceso irrestringido a las librerías ni a los lugares donde se tengan los archivos almacenados; es importante separar las funciones de librería y de operación.

• Los operadores no deben ser los únicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados.

Al implantar sistemas de seguridad puede reducirse la flexibilidad en el trabajo, pero no debe reducir la eficiencia.

SEGURIDAD LOGICA

La seguridad lógica se encarga de los controles de acceso que están diseñados para salvaguardar la integridad de la información almacenada de una computadora, así como de controlar el mal uso de la información

La seguridad

...