Evaluacion De Seguridad

A continuación se citarán las consideraciones inmediatas que se deben tener para elaborar la evaluación de la seguridad.

Uso de la Computadora

Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a:

• tiempo de máquina para uso ajeno

• copia de programas de la organización para fines de comercialización (copia pirata)

• acceso directo o telefónico a bases de datos con fines fraudulentos

Sistema de Acceso

Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a:

• nivel de seguridad de acceso

• empleo de las claves de acceso

• evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso mayor costo

Cantidad y Tipo de Información

El tipo y la cantidad de información que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podrían producir que:

• la información esté en manos de algunas personas

• la alta dependencia en caso de pérdida de datos

Control de Programación

Se debe tener conocer que el delito más común está presente en el momento de la programación, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que:

• los programas no contengan bombas lógicas

• los programas deben contar con fuentes y sus últimas actualizaciones

• los programas deben contar con documentación técnica, operativa y de emergencia

Personal

Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente:

• la dependencia del sistema a nivel operativo y técnico

• evaluación del grado de capacitación operativa y técnica

• contemplar la cantidad de personas con acceso operativo y administrativo

• conocer la capacitación del personal en situaciones de emergencia

Medios de Control

Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema. También se debe observar con detalle el sistema ya que podría generar indicadores que pueden actuar como elementos de auditoría inmediata, aunque esta no sea una especificación del sistema.

Instalaciones

Es muy importante no olvidar las instalaciones físicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar:

• la continuidad del flujo eléctrico

• efectos del flujo eléctrico sobre el software y hardware

• evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc.

• verificar si existen un diseño, especificación técnica, manual o algún tipo de documentación sobre las instalaciones

Establecer las Áreas y Grados de Riesgo

Es muy importante el crear una conciencia en los usuarios de la organización sobre el riesgo que corre la información y hacerles comprender que la seguridad es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la función informática y los medios de prevención que se deben tener, para lo cual se debe:

Establecer el Costo del Sistema de Seguridad (Análisis Costo vs Beneficio)

Este estudio se realiza considerando el costo que se presenta cuando se pierde la información vs el costo de un sistema de seguridad.

Para realizar este estudio se debe considerar lo siguiente:

• clasificar la instalación en términos de riesgo (alto, mediano, pequeño)

• identificar las aplicaciones

...