Seguridad

UNIDAD 3 ADMINISTRACIÓN DE LA SEGURIDAD INFORMÁTICA

OBJETIVOS PARTICULARES DE LA UNIDAD

Al término de la unidad, el alumno:

Entenderá la importancia de la función, y como parte fundamental del entorno globalizado de negocios.

Planeará la función de seguridad informática como parte clave de las organizaciones.

Describirá las prácticas administrativas que son necesarias para el buen funcionamiento de la función de seguridad informática.

3.1 OBJETIVOS AL ADMINISTRAR LA FUNCION

Sus objetivos son identificar, analizar, y eliminar o controlar las fuentes de riesgos antes de que empiecen ha amenazar el funcionamiento continuo y confiable de los sistemas de información.

La seguridad de la información tiene dos aspectos. El primero consiste en negar el acceso a los datos a aquellas personas que no tengan derecho a ellos, al cual también se le puede llamar protección de la privacidad, si se trata de datos personales, y mantenimiento de la seguridad en el caso de datos institucionales.

Un segundo aspecto de la protección es garantizar el acceso a todos los datos importantes a las personas que ejercen adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad de proteger los datos que se les ha confiado.

En general, la protección de los datos requiere ejercer un control sobre la lectura, escritura y empleo de esa información. Para obtener mayor eficiencia en la protección se debe tener siempre presente la protección de los datos, el mantenimiento de la privacidad y la seguridad del secreto.

[ASI]

3.1.1 ADMINISTRACIÓN Y CONTROL DE CAMBIOS

Controles.

• Control Dual. Existen ciertos procesos que no pueden ser validados o verificados por una actividad posterior. En este caso se requiere la intervención conjunta de dos personas antes de consumar la operación. El conjunto dual se cumple al recabar una segunda firma de autorización verificando que los datos coincidan.

• Controles de Entrada

Los datos de entrada deben ser validados lo más cerca posible del punto de origen, los procedimientos para el manejo de errores deben colocarse en el lugar apropiado para facilitar el reproceso oportuno y preciso.

• Manejo de errores de entrada.

Deberán revisarse los procedimientos de manejos de errores relacionados con la corrección y retroalimentación de los datos.

Es necesario determinar si los errores son desplegados o listados inmediatamente después de su detección y si éstos son claros y fácilmente comprensibles.

Todos los datos rechazados deberán ser grabados en forma automática y supervisados antes de volver a iniciar su proceso

• Controles de Procesamiento.

El procesamiento de los datos por programas de aplicación individuales, deben ser controlados para asegurar que ningún dato es agregado, removido o alterado durante el proceso.

Se deberá incluir:

Que existan pistas de auditoria para permitir la reconstrucción de archivos de datos, cuando se requiera.

Probar si los datos pueden ser rastreados hasta el punto de origen.

Determinar si el Departamento de Sistemas de Información tiene un grupo de control que lleve a cabo actividades como las siguientes:

• Control de las actividades de las terminales

• Investigar cualquier desviación del operador respecto a los procesos establecidos

• Asegurarse que los reinicios se realicen adecuadamente.

• Balance de los controles de lote y de registros procesados

• Totales de control

Deben revisarse las condiciones o medidas incorporadas en los programas para la integridad de los procesos previendo lo siguiente:

• Que impida la entrada de datos por consola

• Que se identifiquen los datos a ser procesados

• Que los programas verifiquen las etiquetas internas

• Que las etiquetas finales incluyen cifras de control

Los conceptos señalados también son aplicables para aquellas transacciones que hayan sido rechazadas por el sistema.

Para lograr lo anterior, es conveniente auxiliarse de la misma computadora detectando los errores de procesamiento.

Por esto es necesario.

Determinara qué facilidades de hardware y utilerías de software están disponibles para utilizarse en la detección y corrección de errores.

Verificar que la contabilidad de los y trabajos y los reportes de error incluyan:

• Nombre y número del trabajo

• Tiempo de ejecución, inicio y final.

• Razón de terminación

• Mensajes de error

• Todas las interrupciones y participación del operador

Verificar si el sistema genera reportes por excepción que incluyan:

• Intentos no autorizados de acceso a archivos restringidos

• Exceso de tiempo de corridas de trabajo

• Reproceso de aplicaciones de producción

• Terminaciones anormales y errores detectados en las estadísticas de control

• Controles de salida.

Los reportes de salida deben ser revisados en cuanto a su racionalidad y distribución oportuna a los destinatarios autorizados.

Los reportes de salida beben ser revisados en cuanto a forma e integridad, determinando si han sido establecidos y documentados los procedimientos relacionados con el balanceo y conciliaciones de salidas.

Algunas de las validaciones son:

Determinar si toda la información necesaria esta disponible en los reportes, si todas la excepciones son reportadas, si incluyen todas las excepciones posibles y si los totales son exactos.

Es necesario también en conjunción con los usuarios verificar si:

• Los reportes que reciben son relevantes

• La información que incluye es exacta, confiable y útil

• Tiene necesidades de información no incluidas

• Existen reportes que no son de utilidad

• Tienen sugerencias en cuanto a su frecuencia y contenido

Las salidas deben ser balanceadas contra los totales de control, revisando los procedimientos para esto.

La redistribución de las salidas deben estar de acuerdo con las instrucciones escritas revisando:

a. Su integridad y exactitud

b. Modificaciones e instrucciones iniciales

c. Existencia de las listas de distribución por aplicación actualizada.

d. Verificar si estas listan incluyen; frecuencia del reporte, distribución de los originales y copia e instrucciones especiales (si es el caso).

e. Deben existir procedimientos para reportar y controlar errores determinados en las salidas, incluyendo la comunicación con el área responsable de solucionarlos

f. Lo ideal es establecer una bitácora que señale:

g. Identificación del problemas registrando la fecha y hora en que se contacto al personal de sistema.

h. La acción correctiva que se tomo.

i. Fecha y hora en que se corrigió y responsable de esto.

j. Causas y tendencias de los errores de salida

k. Procedimiento para garantizar que los errores son corregidos en su totalidad.

• Controles administrativos

Separación de funciones.

El auditor deberá preocuparse porque exista una adecuada separación de funciones para prevenir un mal uso de la computadora e inclusive fraudes en la utilización de los archivos, recursos materiales o documentos negociables. Esto incluye el grupo de procesamiento de datos así como las relaciones entre estos y el grupo de usuarios

• Controles de Ambiente y seguridades Físicas

Estos controles están orientados al objetivo señalado de continuidad del servicio y depende en gran parte de las condiciones ambientales externas e internas como: planta de energía propia, temperatura y humedad controlada

Estos controles ambientales no sólo son aplicables en el área de la computadora, sino también en la biblioteca.

El cumplimiento de estos objetivos se pueden asegurar utilizando:

a. Registro de los termómetros localizados en el centro.

b. Registro de indicadores de humedad

c. Registro de indicadores de voltaje

d. Revisión de pruebas periódicas de los procedimientos para operar con la planta auxiliar de energía eléctrica

e. Revisiones de los resultados de las condiciones que guardan los sistemas de protección contra fuego.

Otra área de intervención del auditor en informática está relacionada con los dos aspectos siguientes relacionados con seguridades físicas.

Protección del equipo de cómputo, programas y archivos y el acceso no autorizado a información confidencial o al programa. Los controles generales para seguridad física incluyen:

a. Acceso controlado para prevenir entradas no autorizadas al área de operación, biblioteca y lugares en donde se encuentren documentos negociables.

b. Procedimientos de autorización y criterio para limitar las entradas de personal a áreas restringidas

c. Procedimientos autorización y criterios para la conservación del contenido de la biblioteca.

d. Acceso en línea a la información

Para evaluar los controles de seguridad física es posible utilizar guias de auditoría tomadas en literatura existentes, adecuadas a las particularidades de la organización.

También es importante evaluar dentro de esta etapa otros factores que puedan representar riegos para el centro de procesos.

Las siguientes son algunas

...