4.

5 Seguridad en los datos y software de aplicacin Consiste en la "aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo. Es el control que se establece en el sistema en forma administrativa; esto significa que por medio de procedimientos, claves y niveles de acceso, se permite el uso del sistema, de sus archivos y de su informacin a los usuarios y al personal autorizado; dichos procedimientos van desde el registro de los usuarios y la asignacin de equipos y terminales, hasta el establecimiento de privilegios, limites y monitoreo de uso de sistemas, programas e informacin. En todos los casos de acuerdo con el nivel del usuario, o a su importancia para el sistema y a las polticas de la empresa y del rea de sistemas. El usuario no debe guardar su contrasea en una forma legible en archivos en disco, y tampoco debe escribirla en papel y dejarla en sitios donde pueda ser encontrada. Los objetivos que se plantean sern: Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan modificar los programas ni los archivos que no correspondan. Asegurar que se estn utilizando los datos, archivos y programas correctos en y por el procedimiento correcto. Que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no a otro. Que la informacin recibida sea la misma que ha sido transmitida. Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos. Que se disponga de pasos alternativos de emergencia para la transmisin de informacin 4.6 Controles para evaluar software de aplicacin Revisar la seguridad del software sobre ficheros de datos y programas Revisar las libreras utilizadas por los programadores Examinar que los programas realizan lo que realmente se espera de ellos. Revisar el inventario de software. Comprobar la seguridad de datos y ficheros Examinar los controles sobre los datos Descripcin Cmo el software podr satisfacer las necesidades del usuario? Qu tan buena es la interfaz de usuario? Qu tan fcil de usar es el software para los usuarios finales? Qu tan fcil es el software para instalar, configurar, implementar y mantener? De qu calidad son el diseo, el cdigo y las pruebas? Qu tan completos y libre de errores son? Qu tan bien el software maneja la seguridad? Qu tan seguro es? Qu tan performante es el software? Qu tan escalable es para un ambiente amplio?

Categora de Evaluacin Funcionalidad Usabilidad Calidad Seguridad Rendimiento Escalabilidad

Qu tan buena es la arquitectura de software? Cmo tan modular, porttil, flexible y extensible, abierto y fcil de integrar es? Compatibilidad Qu tanto es el componente de software compatible? Documentacin De que calidad es la documentacin refernte al software? Qu tan bien es el componente aprobado por la comunidad, el mercado y Adopcin la industria? Comunidad Qu tan activa y dinmica es la comunidad para el software? Cul es el nivel de la profesionalidad del proceso de desarrollo y la Profesionalismo organizacin del proyecto en su conjunto? Arquitectura 4.7 Controles para prevenir crmenes y fraudes informticos FRAUDE: Un acto ilegal o un conjunto de actos ilcitos cometidos por medios no fsicos y mediante encubrimiento y astucia, para obtener dinero o propiedades, para evitar el pago del dinero o de las propiedades perdidas o para obtener beneficios personales o ventajas empresariales. Es el delito cometido, intencional y premeditadamente. Ej.:Falsificacin de datos de entrada, Intercepcin electrnica de la comunicacin, Rastreo/Filtracin de la informacin. La responsabilidad por la prevencin y deteccin de fraude y error descansa en la gerencia que debe implementar y mantener sistemas de contabilidad adecuados. El auditor no es y no puede ser responsable de la prevencin del fraude o error, sin embargo, el hecho de que se lleve a cabo una auditoria anual, puede servir para contrarrestar fraudes o errores, Controles para prevenir amenazas y fraudes informticos: Para prevenir el acceso no autorizado, los usuarios deben usar un sistema de contraseas robusto y activar el protector de pantalla manualmente cada vez que se ausente de su oficina. Los datos confidenciales que aparezcan en la pantalla deben protegerse de ser vistos por otras personas mediante disposicin apropiada del mobiliario de la oficina y protector de pantalla. Cuando ya no se necesiten o no sean de utilidad, los datos confidenciales se deben borrar Debe implantarse un sistema de autorizacin y control de acceso con el fin de restringir la posibilidad de los usuarios para leer, escribir, modificar, crear, o borrar datos importantes. No esta permitido llevar al sitio de trabajo computadoras porttiles (Iaptops) y en caso de ser necesario se requiere solicitar la autorizacin correspondiente. No debe borrarse la informacin original no cifrada hasta que se haya comprobado que se puede recuperar desde los archivos encriptados mediante el proceso de descifrado. No deben salirse las impresoras desatendidas, sobre todo si se est imprimiendo (o se va a imprimir) informacin confidencial de la Compaa. El personal que utiliza un computador porttil que contenga informacin confidencial de la Compaa, no debe dejarla desatendida, sobre todo cuando est de viaje, y adems esa informacin debe estar cifrada Se debe ejercer cierta cautela al remitir los mensajes. En todo caso no debe remitirse informacin confidencial de la Compaa sin la debida aprobacin. Los mensajes que ya no se necesitan deben ser eliminados peridicamente de su rea de almacenamiento. Con esto se reducen los riesgos de que otros puedan acceder a esa informacin y adems se libera espacio en disco.

 No debe concederse una cuenta a personas que no sean empleados de la Compaa a menos que estn debidamente autorizados, en cuyo caso la cuenta debe expirar automticamente al cabo de un lapso de 30 das. Privilegios especiales, tal como la posibilidad de modificar o borrar los archivos de otros usuarios, slo deben otorgarse a aquellos directamente responsable de la administracin o de la seguridad de los sistemas. Toda cuenta queda automticamente suspendida despus de un cierto periodo de inactividad. El periodo recomendado es de 30 das. Cuando un empleado es despedido o renuncia a la Compaa, debe desactivarse su cuenta antes de que deje el cargo. 4.8 Plan de contingencia, seguros, procedimientos de recuperacin de desastres Plan de Contingencia Independientemente de que las estrategias se formulen, implanten y evalen con gran cuidado, hay circunstancias imprevistas como huelgas, boicots, desastres naturales, presencia de competidores extranjeros y acciones gubernamentales que pueden hacer que la estrategia quede obsoleta. Para reducir al mnimo el impacto de las amenazas en potencia, las organizaciones deben desarrollar planes de contingencia como parte de su proceso para evaluar estrategias. Los planes de contingencia se pueden definir como planes alternativos que se pueden poner en prctica cuando ciertos hechos clave no ocurren como se esperaba. Slo las reas que tienen verdadera prioridad requieren la seguridad de planes de contingencia. Seguros: Se deben verificar las fechas de vencimiento de las plizas, pues puede suceder que se obtenga la pliza adecuada pero vencida, y que se encuentre actualizada con los nuevos equipos. El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el equipo con las diferentes caractersticas por lo cual convenga tener dos o mas plizas por separado, cada una con las especificaciones necesarias. El seguro debe cubrir tantos daos causados por factores externos (terremotos, inundaciones, etc.) como factores internos (daos ocasionados por negligencia de los operadores, daos debidos al aire acondicionado). Procedimientos de recuperacin de desastres El sistema debe ser probado y utilizado en condiciones anormales, para que en caso de usarse en situaciones de emergencia se tenga la seguridad que funcione. Las revisiones al plan se deben realizar cuando se halla efectuado algn cambio en la configuracin del equipo o bien en periodos semestrales. Una de las principales objeciones al plan de emergencia es su costo. El plan de emergencia, una vez aprobado, se distribuyen entre personal responsable de su operacin, por precaucin es conveniente tener una copia fuera de la direcciones de informtica. Objetivos: Mantener al organismo y sus actividades operando aun en una situacin de desastre, debido a que las prdidas pueden ser financieras directas e indirectas, de la produccin, de clientes, de control, costos extra para apoyo, costo de compensacin, informacin errnea o incompleta, bases pobres para la toma de decisiones. Los desastres que pueden suceder se pueden clasificar de la siguiente manera: Completa destruccin del centro de computo

 Destruccin parcial del centro de computo Destruccin o mal funcionamiento de los equipos auxiliares del centro de computo (electricidad, aire acondicionado, etc.) Destruccin parcial o total de los equipos descentralizados Prdida total o parcial de informacin, manuales o documentacin Perdida del personal clave Huelga problemas laborales El plan en caso de desastre debe incluir: La documentacin de programacin y de operacin de los equipos El equipo completo El ambiente de los equipos Datos y archivos Papelera y equipo accesorio Sistemas (sistemas operativos, base de datos, programas de utilera, programas). Cuando el plan sea requerido debido a una emergencia, el grupo deber: Asegurar que todos los miembros sean notificados Informar al director de informtica Cuantificar el dao o perdida del equipo, archivos y documentos para definir que parte del plan debe ser activada Determinar el estado de todos los sistemas en proceso Notificar a los proveedores del equipo cual fue el dao Es conveniente incluir en el acuerdo de soporte reciproco los siguientes puntos: Configuracin del equipo Configuracin de equipo de captacin de datos Sistemas operativos Configuracin de equipos perifricos Finalmente se deber estudiar que se tenga una lista de los requerimientos mnimos que deben tener para un efectivo plan de recuperaciones caso de desastre. 4.9 Tcnicas y herramientas relacionadas con la seguridad fsica y del personal Seguridad fsica El objetivos establecer polticas, procedimientos y prcticas para evitar las interrupciones prolongadas del servicio de procesamientos de datos, informacin debido a contingencias como incendios, inundaciones, huelgas, disturbios, sabotaje, etc. y continuar en un medio de emergencia hasta que sea restaurado el servicio por completo. Entre las precauciones que se deben revisar estn: Los ductos del aire acondicionado deben de estar limpios, se habr contar con detectores de humo que indiquen la posible presencia del fuego. En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible, tanto en la computadora como en la red y los equipos de teleproceso. En cuanto a los extinguidores, se debe de revisar el nmero de estos, su capacidad, fcil acceso, peso y tipo de producto que se utiliza. verificar si el personal sabe usar los equipos contra incendios y si ha habido practicas en cuanto su uso

 Existan suficientes salidas de emergencia y que estn debidamente controladas para evitar robos Seguridad en el personal Algunas formas de control preventivo y correctivo segn Tllez, J. (1996) son: Aplicacin de un examen psicomtrico al personal informtico previo al ingreso a la organizacin. Introduccin de clusulas especiales en los contratos de trabajo con el personal informtico que por el tipo de labores a realizar as lo requiera. Establecimiento de un cdigo tico de carcter interno en la organizacin. Adoptar estrictas medidas en el acceso y control de las reas informticas de trabajo. Capacitacin adecuada del personal informtico a efecto de evitar actitudes negligentes. Identificacin y, en su caso, segregacin del personal informtico descontento. Rotacin en el uso de claves de acceso al sistema. Tcnicas: Observacin de las instalaciones, sistemas, cumplimiento de normas y procedimientos, etc. (tanto de espectador como actor) Revisin analtica de: Documentacin sobre construccin y preinstalaciones Documentacin sobre seguridad fsica Polticas y normas de actividad de sala Normas y procedimientos sobre seguridad fsica de los datos Contratos de seguros y de mantenimiento Entrevistas con directivos y personal fijo o temporal ( no es interrogatorio) Consultas a tcnicos y peritos que formen parte de la plantilla o independientes 4.10 Tcnicas y herramientas relacionadas con la seguridad de los datos y software de aplicacin Controles para la seguridad de datos e informacin: Identificacin y autentificacin Roles Transacciones Limitaciones de los servicios Modalidad de acceso Ubicacin y horario Control de acceso externo e interno Herramientas. Herramientas de control y verificacin de la seguridad. Herramientas de monitoreo de actividades Tcnicas Identificacin de amenazas potenciales. Definicin de los puntos de control (PC) de un sistema. Identificacin de problemas potenciales.

Mapeo de los problemas potenciales. Limitacin y anlisis del riesgo. Tcnica para obtener el costo / prdida Controles Bsicos. Seleccin de Controles.