AUDITORA Seguridad de los sistemas Porqu estudiarlo? Para qu hacerlo? Qu hacer? Cmo hacerlo?

Introduccin y objetivo general del tema Objetivos de los controles y medidas Descripcin de medidas y controles a aplicar Descripcin de tareas a realizar (metodologa)

Seguridad de los sistemas (tiempo real) Diferencias relevantes con respecto a otros modos de operacin Controles especficos de este tipo de modalidad. Introduccin y objetivo general Podemos definir la seguridad como aquella actividad encaminada a dar al procesamiento de datos la proteccin razonable. Y decimos razonable porque nunca existe certeza absoluta. El tema es fundamental pues hoy en da, el mbito de sistemas constituye el punto donde se concentra la mayor parte de la informacin de la empresa. Es evidente que la informacin utilizada por los entes en general ha variado en la ltimas dcadas. Del mismo modo lo han hecho las necesidades de generacin de esa informacin y los medios de procesarlas. Aunque se observan ciertas diferencias entre los sistemas computarizados y los convencionales puede afirmarse que el procesamiento electrnico de datos no afecta a los objetivos del control interno, la responsabilidad de la direccin y las limitaciones inherentes al sistema de control interno, pero s afecta el enfoque para la evaluacin del mismo y el tipo de evidencia de auditora que se obtiene. Los enfoques de auditora que se utilizan en ambientes en los que una parte significativa de los procesos administrativos son procesados electrnicamente han evolucionado con el tiempo. Se pueden clasificar as: enfoque tradicional o externo consiste en realizar los procedimientos de verificacin utilizando los datos de entrada al sistema y someter estos datos al proceso lgico que se realiza en esa etapa especfica de procesamiento. Con estos elementos se obtienen datos de salida procesados manualmente; se comparan con los generados por el sistema y se concluye si el procesamiento electrnico llega a resultados razonables (por muestreo). enfoque moderno consiste en realizar los procedimientos de verificacin del correcto funcionamiento de los procesos computarizados utilizando la computadora se seleccionan tcnicas de auditora que controlan la forma en que la aplicacin contable computarizada funciona. Las tcnicas son variadas pero todas ellas tienen en comn que no consideran el procedimiento como una caja negra. Consisten en revisar pasos de programas, la lgica del lenguaje utilizado, re-procesar una serie de operaciones a travs del propio sistema computarizado, etc. El auditor pondr los objetivos del trabajo (evaluacin de riesgos), identificar procedimientos de auditora que se aplicarn y avaluar los resultados de la aplicacin de los mismos.El Objetivo es, entonces, la seguridad de esa informacin, por lo que debemos implementar controles para disminuir o evitar los riesgos. Dichos controles, determinarn el grado de confiabilidad de la informacin suministrada. Las organizaciones, sobre todo las pequeas y medianas, carecen de documentacin, estndares para la elaboracin, como as tambin de controles internos. No debera diferenciarse la estructura de controles internos a evaluar de acuerdo al tamao de la empresa. La diferencia radica en la intensidad de algunos controles, en especial los de: Separacin de funciones Archivos Seguridad fsica Debe tenerse siempre presente el principio de economa de procesamiento (el costo de los controles debe ser inferior al beneficio del proceso, y los controles su magnitud- debe estar relacionada con los riesgos a evaluar). Por ltimo, los avances en tecnologa de comunicaciones han ocasionado una nueva fuente de control: las lneas de comunicacin. Todos estos aspectos confluyen en un nico objetivo: Evaluar el control interno de forma tal de asegurar que la informacin que se procesa sea toda la que se debe procesar, sea debidamente autorizada, que se atienda a la conservacin y mantenimiento de los recursos de sistemas y que exista una perfecta definicion de la separacin de responsabilidades por las operaciones ejecutadas Conceptos de auditora y control interno

Definicin de Control Interno Est incorporado a la estructura de la organizacin, esto asegura la continuidad del control (no es espordico). Es preventivo. Que se controle antes de los procesos hace ms probable que las cosas salgan mejor, que mejore notablemente la calidad de lo producido. Bsicamente busca la prevencin y no la deteccin posterior. Si los Controles internos son buenos, no har falta trabajar con toda la informacin, bastar con una muestra significativa. Una definicin acertada sera: es el conjunto de normas procedimientos existentes en el ente auditado, implementados con el fin de alcanzar los objetivos para los cuales se creo el ente. Definicin de Auditoria La auditoria la definimos como un control destinado a evitar errores por negligencia y/o irregularidades dentro del funcionamiento de los distintos entes u organizaciones. Por ello cuando se habla de auditoria en un sentido general se entiende que implica examinar o revisar determinado objeto o atributo. Todo ente u organizacin, ya sea con fin de lucro o sin l, posee ciertos controles o parmetros preestablecidos para permitir su habitual funcionamiento. La auditoria controla dichos parmetros, razn por la cual, en forma rudimentaria, se suele decir que la auditoria es el control de los controles o un control de los controles ya existentes en el ente auditado. Pasos de la Auditoria En cuanto a las etapas la Resolucin Tcnica N 7 aprobada por la Federacin Argentina de Consejos Profesionales de Ciencias Econmicas nos da una pauta de los pasos a seguir al momento de llevar a cabo una auditoria. Bsicamente son tres: a. Planificacin (Predetermina tareas) b. Ejecucin (Aplica procedimientos y los soporta) c. Conclusin (Emite un informe) Concepto y tipos de Pruebas. Al definir las pruebas o procedimientos de auditoria, estamos definiendo los tipos de tareas a efectuar. Existen dos tipos de pruebas. De Cumplimiento Sustantivas Sinnimo De control Interno De validez Objetivo Funcionamiento de los Validar la informacin y los procedimientos internos del datos. ente. Objeto auditado Gestin del ente Sistema de informacin. Riesgos Existen tipos y clases de riesgos, es decir, se puede hacer una diferenciacin de los errores y omisiones en los cuales se puede incurrir. Riesgo inherente Es el riesgo innato o de origen que posee un dato por el simple hecho de su existencia y estar dado por las caractersticas de lo auditado. Se podra decir que todo objeto de auditoria lleva adjunto su riesgo inherente. Riesgo de Control Este riesgo estar dado por la ineficiencia de los procedimientos de control. Riesgo de Deteccin. El riesgo de deteccin afecta directamente a la figura del auditor como sujeto ejecutante de la auditoria. Es decir este riesgo se presenta por la propia falta de capacidad del auditor para detectar o percibir un error u omisin. Medidas y controles a aplicar El control interno en el procesamiento electrnico de datos se puede dividir en: A. Controles en la administracin del servicio del centro de cmputos B. Controles en el desarrollo de los sistemas C. Controles en los sistemas de informacin D. Controles en la entrada de datos E. Controles en los archivos y las Bases de datos A. Controles en la administracin del servicio del centro de cmputos Dado el ambiente de trabajo en que se desempea el rea de sistemas, y su influencia en todos los sectores de la empresa, se reconoce la necesidad de implantar normas administrativas para un control eficaz. Sin embargo, en la realidad se olvida dictar y hacer cumplir normas de control interno, destacndose debilidades tales como: Inadecuada segregacin de funciones Fcil acceso al hardware / software

 Escasa supervisin de las actividades NORMAS GENERALES A CUMPLIR PARA ASEGURAR UN BUEN FUNCIONAMIENTO ORGANIZACIN : El dpto de sistemas debe estar organizado Debe existir segregacin de funciones entre sistemas y otros dptos Supervisin competente y completa, revisin de tareas por gerencia Deben existir procedimientos administrativos y de operacin Objetividad e independencia de los usuarios SEGURIDAD : Proteccin de equipo, software, documentacin HARDWARE : Mantenimiento del equipo en buen funcionamiento ACCESO : Restringido a personal autorizado (Hard, documentos, archivos) PROCESAMIENTO : Procesamiento rpido y exacto de la informacin Controles internos en la operacin de SI Instrucciones de operacin Programas de ejecucin (schedule) Lista de mensajes y paradas programadas (acciones ligadas) Procedimientos de recupero y reinicio Tiempos estndar/estimados COMUNICACIONES : Control y supervisin de las operaciones y los dispositivos de comunicacin En cada uno de los componentes de un SI deben existir controles internos. Como objetivo principal de todo control interno, lo primordial es tratar de disminuir riesgos. En las comunicaciones de un SI deben establecerse controles en: Hardware: debe haber controles que impidan el fcil acceso fsico a las terminales y al equipamiento de la red (instalaciones, modems, hubs, cables, etc.) Software: deben utilizarse protocolos para controlar la calidad de los mensajes y la no presencia de errores en cualquier transmisin de informacin. Deben controlarse el acceso a las aplicaciones y datos que residan en el/los servidores de la organizacin Datos: deben utilizarse tcnicas de encriptacin (procedimiento generalmente pblico que logra convertir un texto claro en un texto confuso o desordenado slo descifrable con una clave, un mtodo criptoanaltico o a fuerza bruta). Ej de algoritmos de encriptacin: DES, 3DES, RSA, IDEA (se diferencian segn la cantidad de bytes de las claves de encriptacin y los algoritmos utilizados). POLITICAS : Control externo que asegure el seguimiento de polticas y procedimientos fijados Los controles del departamento de sistemas involucran a ms de una aplicacin. Existen 3 tipos de riesgo: Estructura organizativa y procedimientos operativos no confiables Riesgo: cambios no autorizados en programas o en archivos de datos. Las medidas de prevencin se tornan crticas para asegurar la confiabilidad de la informacin Medios de Control: separar las principales responsabilidades de las actividades de operacin y programacin. Diferentes personas deben desempear las funciones de: Gerencia del departamento, anlisis - diseo y programacin de aplicaciones, mantenimiento de software de sistemas, operaciones, control de datos, seguridad de datos. Controles sobre acceso fsico y sobre el desarrollo de los programas. Procedimientos no autorizados para cambios en los programas Riesgo: los programadores pueden realizar cambios incorrectos en el software de aplicacin. Medios de Control: los posibles controles son: los cambios deben ser iniciados y aprobados por los usuarios, las modificaciones deben ser revisadas y aprobadas por la superioridad. Acceso general no autorizado a los datos o programas de aplicacin Riesgo: personas no autorizadas pueden tener acceso directo a los archivos de datos o programas de aplicacin utilizados para procesar transacciones permitindoles realizar cambios no autorizados a los datos o programas. Medios de Control: los posibles controles son: software de seguridad, registro de operaciones (consola), informes gerenciales especiales.

B. Controles en el desarrollo y mantenimiento de los sistemas Es de suma importancia la participacin activa del auditor en el ciclo de desarrollo y mantenimiento de los sistemas; no slo en la verificacin del cumplimiento de las etapas previstas, sino tambin para el asesoramiento respecto de los controles internos a considerar en el nuevo sistema. Esto es muy importante, fundamentalmente por dos razones:

1. No se puede esperar que un sistema quede determinado para luego auditarlo. Los auditores deben aprovechar para introducir controles 2. El auditor puede sugerir y participar en el diseo de controles en los sistemas NORMAS A CONSIDERAR EN LOS DESARROLLOS DE LOS SISTEMAS CONTROL Y EFICIENCIA : Estandarizar tcnicas de programacin y procedimientos de operacin de los sistemas. Efectuar controles en caso de cambios a programas DOCUMENTACIN : Documentacin adecuada que describa los sistemas y los procedimientos para llevar a cabo su procesamiento GENERALES : Metodologa formal de desarrollo Especificaciones de diseo Documentacin en la construccin Diseo de archivos y tablas Documentacin de pruebas y resultados Diagramaciones PROCESO DE SELECCIN PARA LA ADQUISICIN DEL SOFTWARE Ante la necesidad de adquirir algn tipo de software se debe cumplir el siguiente procedimiento 1. Realizar tareas previas relacionadas a la definicin de requerimientos e invitacin a los proveedores 2. Llevar a cabo el proceso de seleccin teniendo en cuenta las caractersticas del proveedor, las caractersticas de el/los productos que ofrece, las caractersticas del proyecto de trabajo que propone y la composicin de los costos ofrecidos 3. Proceder a la evaluacin final, realizando de ser posible una matriz comparativa de los diferentes proveedores ponderando cada una de las caractersticas relevadas y seleccionando el proveedor que ms satisfaga las necesidades planteadas (matriz de objetivos mltiples) C. Controles en los sistemas de informacin Riesgos de Aplicacin Podemos identificar cuatro categoras de los riesgos, y medios de control: Acceso no autorizado al procesamiento y registro de datos Riesgo: se puedan leer, modificar, agregar o eliminar informacin de los archivos de datos o ingresar sin autorizacin transacciones para su procesamiento Medios de Control: Acceso slo otorgado a quienes no desempean funciones incompatibles, prohibicin de accesos no autorizados. Datos no correctamente ingresados al sistema Riesgo: datos pueden ser imprecisos, incompletos o ser ingresados ms de una vez. Medios de Control: controles sobre la precisin e integridad de los datos ingresados para el procesamiento (programas) Otros controles de validacin: que cada campo responda al formato definido (numrico, alfabtico, alfanumrico) Cantidad de datos. Todos los campos de datos importantes deben estar completos, los datos deben ser compatibles con los datos permanentes, identificacin de los nros de documentos o lotes procesados, saldos de transacciones deben balancear Datos rechazados y en suspenso no aclarados Riesgo: perder datos, partidas en suspenso que no se identifican, analizan y/o corrigen en forma oportuna. Las alternativas pueden ser: Transacciones aceptadas por el sistema y sealadas en un informe de excepcin, Transacciones destinadas a una cuenta en suspenso del sistema en lugar de ser procesadas, Transacciones completamente rechazadas. El Riesgo es que estas transacciones no sean adecuadamente resueltas y procesadas. Medios de Control: controles sobre transacciones rechazadas y partidas en suspenso. Se deber crear un registro que los incluya para que su posterior correccin y procesamiento pueda ser controlado. Procesamiento y registracin de transacciones incompletos y/o inoportunos Riesgo: las transacciones ingresadas o generadas pueden perderse o ser procesadas o registradas en forma incompleta o inexacta o en el perodo contable incorrecto. El riesgo est dado por incorrecta actualizacin de los registros. Medios de Control: En los procesamientos por lote: Totales de Control; en otros procesamientos: controles de balanceo programados, de transmisin de datos, de re-enganche y recuperacin, de corte programados, sobre los datos generados por el sistema. D. Controles en los archivos y las Bases de datos Los principales riesgos son: a) las destrucciones b) los accesos no autorizados c) la revelacin a terceros a) Implica el riesgo de destruccin tanto del soporte como del contenido de los mismos. Deben implementarse controles que se conocen en su conjunto como seguridad fsica.

Deben existir polticas de resguardo y recupero de informacin (BACK-UPS que deben planificarse. Lo ptimo sera un back-up total de forma diaria pero no es econmicamente viable. Los soportes utilizados deben ser inventariados y etiquetados de forma clara y deben ser adecuadamente custodiados. Para saber si los backups funcionan, peridicamente deben realizarse pruebas de recupero de informacin b) Estos riesgos se atacan con controles relacionados con la seguridad lgica. Es necesario contar con controles de acceso y perfiles de usuario. El control de acceso implica la identificacin y la autenticacin del usuario. El perfil de usuario asegura que un usuario slo pueda realizar las operaciones para las que est autorizado. Para que un usuario se autentique ser necesario contar con "algo que uno sabe (ej. password ), algo que uno tiene (ej. tarjeta) o algo que uno es (tcnicas biomtricas) c) debe aplicarse la criptografa (aunque la informacin pueda ser visualizada no ser entendible) Tambin se debe tener en cuenta el control de concurrencia (acceso simultneo a los datos) y el control de transacciones (asegurando que una transaccin pueda completarse totalmente o volverse hacia atrs luego de producido un fallo) E. Controles en la entrada de datos En cualquier sistema de informacin si entra basura sale basura. El costo de detectar y corregir los errores una vez que ingresaron al SI es mucho mayor que el costo de establecer controles internos adecuados para prevenir esos errores. La informacin debe cumplir con todas sus caractersticas fundamentales (exactitud, completitud, pertinencia, legitimidad, confidencialidad, oportunidad, no duplicacin, etc.) La captura de los datos puede dividirse en tres momentos: la captura en s, la validacin de los mismos y el almacenamiento. Los problemas pueden presentarse en cualquiera de estos tres momentos. En la entrada de datos se tiende a la introduccin de tecnologa para reducir errores. En la validacin de los datos ser fundamental la exactitud en las reglas de programacin (rangos, tipos de datos, contadores, sumadores, dgito verificador). Si bien se trata de automatizar la captura, debe existir un medio alternativo ante cualquier contingencia. Descripcin de Tareas a Realizar (Metodologa) Son los aspectos a ser tenidos en cuenta por el auditor, desde los siguientes puntos de vista: Ambiente de sistema Recabar informacin sobre el grado de utilizacin del procesamiento electrnico de datos en aquellas aplicaciones financieras significativas. Principales temas a considerar para adquirir conocimientos sobre el ambiente, son los siguientes: Conocimiento de la estructura organizativa de los sistemas Conocimiento de la naturaleza de la configuracin de sistemas Alcance del procesamiento computarizado de la informacin Ambiente de Control Conjunto de condiciones dentro de las cuales operan los sistemas de control. Est referido al enfoque que tiene la gerencia superior y el directorio con respecto al objetivo de control y el marco en que ejerce ese control. Los aspectos a considerar para evaluar la efectividad del ambiente de control son: El enfoque de control por parte del directorio y la gerencia superior La organizacin gerencial: posicin del gerente de sistemas El gerente de sistemas tiene como funcin crear y mantener un adecuado ambiente de control. Hecha la planificacin estratgica, se documentan las decisiones preliminares para cada uno de los componentes con un enfoque tentativo de auditora Planificacin detallada Es la seleccin de los procedimientos de auditora, que comunmente se traducen en la preparacin de los programas de trabajo. El auditor se concentra en obtener y documentar una comprensin sobre los controles directos y generales para los componentes significativos de los estados financieros-

Seguridad de sistemas con procesamiento en tiempo real Los controles vistos anteriormente, deben aplicarse tambin en procesos en tiempo real, pero adems deben agregarse otros que son propios de este tipo de procesamiento. Problemas que pueden presentarse en procesamiento en tiempo real En cuanto al proceso En cuanto al manejo administrativo En cuanto al uso Se puede encarecer una aplicacin, por no precisar sta necesariamente de actualizacin en tiempo real (Sueldos) Es ms difcil detectar errores, ya que la actualizacin modifica el archivo en el momento Desarrollo e implantacin son ms costosos Es ms difcil implementar control interno, pues se minimiza la documentacin del procesamiento, entrada Relacin directa entre el usuario y el equipo

Medidas de seguridad que demanda el proceso en tiempo real Tcnicas de control fsico Dispositivos de proteccin para terminales (cerraduras, lectoras) Ubicacin de terminales en reas supervisadas Desconexin de terminales en determinado horario Acceso a archivos en determinado horario Desconexin automtica de terminales no usadas Tcnicas de control lgico Contraseas para el acceso No-display de contraseas Establecer parmetros de niveles de autorizacin Desconexin automtica de terminales ante X intentos infructuosos de acceso Tcnicas de control de Transmisiones cifradas o codificadas telecomunicaciones Usar detectores de intercepcin de informacin Distribucin y control de nmero telefnico para estaciones de llamada Control y validacin de la Instrucciones escritas para guiar a operadores entrada Validacin de la entrada (pruebas programadas) El operador debe revisar los datos ingresados Se concilian totales de control (manuales vs computador) Marcas de tiempo y fecha de entrada de la transaccin Mantenimient Quien ejecuta o aprueba el mantenimiento no rinde cuenta de los hechos o Controlar el acceso para mantenimiento Controles de Informe del era y es sobre los archivos maestros archivo Integridad Informe de era y es revisado por personal apropiado Balanceo de conteo de registros y totales de control Control del balanceo de las Controles de transacciones Procesamiento Aptitud de procesamient o Pruebas de resultado de Controles de la procesos Salida Prueba de salida conteo de registros, totales de control informe de datos que no balancean esos errores deben corregirse antes de reprocesar familiarizacin del operador con los procedimientos del sistema familiarizacin del operador con los procedimientos alternativos registro de fecha y hora en las transacciones comprobaciones de razonabilidad de resultados(por programa) utilizar informes de gerencia para detectar errores importantes identificar e informar desbordamientos de capacidad informes diseados para evitar errores de interpretacin

VERIFICACIN Ya definidos cules deben ser los controles que una organizacin debe aplicar en cada uno de los componentes de sus SI, debemos analizar los diferentes circuitos que existan para comprobar que esos controles sean cumplidos. Se pasa entonces a las etapas de verificacin en las cuales se debe obtener evidencia comprobatoria, vlida y suficiente de que los controles funcionan adecuadamente. Son las denominadas pruebas de

cumplimiento, que determinarn la naturaleza, el alcance y oportunidad de los procedimientos de auditora a aplicar en la informacin almacenada en el sistema de informacin. Debe comprobarse la existencia de una estructura organizativa adecuada, mediante inspeccin de manuales, perfiles de usuario, entrevistas, etc. Debe comprobarse la existencia escrita y correcta actualizacin de normas y procedimientos de programacin y tecnologa. Debe verificarse la continuidad del procesamiento (planes de contingencia, polticas de back-up, etc) Deben verificarse los controles del teleprocesamiento (funciones del administrador de red, criptografa) Los controles en las aplicaciones pueden verificarse a travs de medidas de documentacin, niveles medios de fallas, calidad de diseo, cantidad de usuarios, complejidad, cantidad de transacciones, modalidades del procesamiento, estabilidad, escalabilidad, etc (para reflejar estas medidas puede usarse una matriz de riesgo con sus respectivas ponderaciones). Para llevar a cabo las pruebas de cumplimiento de un sistema puede o no utilizarse una computadora. Las pruebas de cumplimiento con el uso de una computadora pueden clasificarse en: POSTOPERACIN (si se verifican los controles luego del procesamiento) 1) Puede usarse el sistema real con transacciones reales: se comparan resultados predeterminados con resultados reales 2) Puede usarse el sistema real con transacciones simuladas: en este caso se comparan resultados predeterminados con resultados simulados. La tcnica se denomina lote de prueba. Se podr utilizar el mismo lote para probar todas las funcionalidades del sistema pero el mismo tendr que estar actualizado y debe ser pensado de tal forma que represente todas las condiciones de posible ocurrencia 3) Puede usarse un sistema simulado construyendo un sistema paralelo al real con las funcionalidades que se desean probar. La tcnica se denomina simulacin en paralelo y se comparan resultados de transacciones reales en el sistema real con resultados de transacciones reales en el sistema simulado. Este mtodo permite saber si la informacin resultante del sistema real fue modificada por el costado del sistema pero tiene como desventaja que slo se pueden realizar pruebas parciales y que requiere la suficiente pericia tcnica para construir el sistema simulado. EN LA OPERACIN (pruebas concurrentes) En el sistema real se ingresan transacciones reales y transacciones simuladas. La tcnica se denomina ITF (integrated test facilities o minicompaa). Se generan registros especiales de auditora dentro de los registros principales del procesamiento (debiendo estar debidamente identificados). La tcnica slo es aplicable en organizaciones que cuentan con organismos de superintendencia que lo permiten, de otro modo podra ser considerada como fraude). Requiere baja pericia tcnica y le aporta al auditor el factor sorpresa pero puede tener inconvenientes en su implementacin o en su control si las transacciones simuladas no son debidamente identificadas PRUEBAS SUSTANTIVAS Una vez realizadas las pruebas de cumplimiento se debe analizar la informacin almacenada en el SI. Si la misma se encuentra en soportes informticos puede ser analizada en su totalidad (el alcance ser total) puesto que ello puede hacerse rpidamente. La informacin que no es encuentre almacenada digitalmente puede ser muestreada segn el diagnstico hecho sobre los controles generales y los controles particulares. Se pueden encontrar las siguientes herramientas para la realizacin de pruebas sustantivas: Programa o sistema especial de auditora Paquete o software de auditora Aplicativos en general (ej planillas de clculo) Lenguajes de consulta SEGURIDAD FSICA Y LGICA La seguridad fsica y la seguridad lgica se relacionan con medidas preventivas de impactos en la organizacin. La informacin debe ser clasificada de acuerdo a sus principales caractersticas y se debe plantear el impacto de distintos acontecimientos (en lo posible de forma cuantitativa). Adicionalmente se debe plantear la probabilidad de ocurrencia de cada hecho fortuito a los efectos de tratar de minimizar todos los riesgos.

Seguridad fsica RIESGOS Propios de la zona geogrfica: incendios, inundaciones, tormentas, epidemias, terremotos Propios de la vecindad: pueden ser permanentes (por ej. que la organizacin se encuentre lindando a una estacin de servicio) o transitorios (por ej. que existan obras en la cercana de la organizacin) Propios del ente: son los riesgos del edificio, como los materiales con los que est construido, la disposicin fsica del equipamiento elctrico, la insonorizacin, etc. Controles: construcciones adecuadas, desages aptos, bombas de desagote, sensores de lnea, generadores propios, instalaciones antiincendios, UPS, grupos electrgenos, utilizacin de cable canal, cableado elctrico adecuado, realizacin de back-ups, separacin fsica de copias de seguridad y equipos de contingencia, identificacin del personal afectado y no afectado al rea de sistemas, etc. Seguridad lgica Los datos pueden sufrir consultas y modificaciones no autorizadas, adems de destrucciones. Por ello se deben implementar medidas de seguridad lgica que hacen a la: Identificacin: de la persona que quiere acceder a esos datos Autenticacin: de esa persona. Se debe certificar que quien se identifica es quien dice ser (algo que uno sabe, algo que uno tiene, algo que uno es). Si se utilizan claves las mismas deben ser nicas, fciles de memorizar, expirables luego de un lapso determinado y deben aceptar una cantidad mnima de intentos fallidos. Es recomendable contar con un sector que se encargue de la administracin de todas las claves. Autorizacin: se deben limitar las autorizaciones en el uso de los recursos del SI (tanto de los datos como de las funciones que puedan realizarse con esos datos) Documentacin: se deben llevar registros de todos los acontecimientos para tareas de vigilancia y seguimiento estadstico. PLAN DE CONTINGENCIA La organizacin debe estar preparada para la ocurrencia de hechos accidentales, desastres naturales o actos intencionales que pongan en peligro su normal operatoria. Siempre se debe asegurar el COB (continuity of business). Las principales causas de la falta de prevencin son: No nos puede pasar a nosotros Apata en los cargos jerrquicos Desconocimiento de cmo preparar un plan Difcil cuantificacin de beneficios Se deben analizar todos los riesgos, establecer los recursos crticos, elaborar un proyecto, desarrollar el plan y realizar las pruebas pertinentes Fase de emergencia: si se produce algn hecho grave, se debe establecer el ambiente de reconstruccin y recuperacin y minimizar los daos ocurridos (las medidas de prevencin sern fundamentales para evitar daos graves). Fase de enlace: se deben brindar alternativas de procesamiento para mantener la capacidad operativa y se deben facilitar las tareas de recuperacin del ambiente. Fase de back-up: es necesario continuar operando con el procesamiento alternativo proveyendo los sets de copias de resguardo necesarios para ello. Fase de recupero: se debe restaurar totalmente el SI a su normal funcionamiento, discontinuando la operacin con el procesamiento alternativo y convirtiendo las operaciones y archivos del modo de enlace al modo normal