Académique Documents
Professionnel Documents
Culture Documents
5.1.1 Tipos de controles del CPD 5.1.2 Aspectos relacionados con el Orden en el CPD 5.1.3 Configuracin del CPD 5.1.4 Eficiencia de la produccin.
www.inacap.cl
Los datos debern tener una clasificacin estndar y un mecanismo de identificacin que permita detectar duplicidad y redundancia dentro de una aplicacin y de todas las aplicaciones en general. Se deben relacionar los elementos de los datos con las bases de datos donde estn almacenados, as como los informes y grupos de procesos donde son generados.
www.inacap.cl
La mayora de los delitos computacionales son cometidos por modificaciones de datos fuente al:
Duplicar Procesos
Alterar Datos
Adicionar Datos
www.inacap.cl
El control de datos es importante en caso de equipos que cuentan con sistemas en lnea, en donde los usuarios son los responsables de la captura y modificacin de la informacin al tener un adecuado control con identificacin de responsables de los datos, con claves de acceso de acuerdo a niveles.
www.inacap.cl
La eficiencia y el costo de la operacin de un sistema de cmputo se ven fuertemente afectados por la calidad e integridad de la documentacin requerida para el proceso en los computadores.
Los instructivos de operacin proporcionan al operador informacin sobre los procedimientos que debe seguir en situaciones normales y anormales en el procesamiento.
Se debe contar con cuestionarios que permitan identificar los procedimientos e instructivos formales de operacin, analizar su estandarizacin y evaluar el cumplimiento de los mismos.
www.inacap.cl
Los controles de salida se instalan para asegurar la exactitud, integridad, oportunidad, y distribucin correcta de la salida, ya sea que se d en pantalla, en forma impresa o en medios magnticos. Los siguientes procedimientos de control se refieren a la salida:
Se debe realizar un filtrado inicial para detectar errores obvios tambin llamada Auditoria de Base de Datos. La salida deber dirigirse inmediatamente a un rea controlada, y esa distribucin solamente por personas autorizadas. Los totales de control de salida debern reconciliarse con lo totales de control de entrada para asegurar que ningn dato haya sido modificado, perdido o agregado durante el procesamiento o la transmisin. Cualquier salida altamente delicada que no deba ser vista por el personal del centro de cmputo deber ser generada por un dispositivo de salida en un lugar seguro alejado de la sala de computacin.
www.inacap.cl
Los controles de salida se instalan para asegurar la exactitud, integridad, oportunidad, y distribucin correcta de la salida, ya sea que se d en pantalla, en forma impresa o en medios magnticos. Los siguientes procedimientos de control se refieren a la salida:
Cuando se vayan a imprimir instrumentos negociables, deben realizarse convenios de custodia dual entre el departamento de sistemas y el del usuario. A pesar de todas las precauciones tomadas, se presentarn algunos errores. El punto de control principal para la deteccin de dichos errores es, por supuesto, el usuario. Por lo tanto, el auditor debe fijar los procedimientos para el reporte sistemtico de la ocurrencia de errores o de incongruencias. El diseo de sistemas emplear un ciclo de retroalimentacin en el que los usuarios reporten todos los errores al grupo de control, y el grupo de control a su vez, tomar las acciones para corregir cualquier o inconsistencia que pudiera aparecer.
www.inacap.cl
La experiencia muestra que los mejores resultados se logran en las organizaciones que utilizan sistemas formales de programacin de actividades, los cuales intentan balancear los factores y medir resultados.
www.inacap.cl
Dispositivos
Los medios de almacenamiento representan archivos muy importantes cuya prdida podra tener repercusiones muy serias, no slo en el mbito informtico, sino en la dependencia a la cual se presta servicio.
Direccin
Una direccin de informtica bien administrada debe tener protegidos los dispositivos de almacenamiento, adems de mantener registros de la utilizacin de estos archivos, de modo que sirvan de base a los programas de limpieza, principalmente en el caso de las cintas.
Medios
Se debe tener perfectamente identificados los medios para reducir la posibilidad de utilizacin errnea o destruccin de la informacin
www.inacap.cl
Por Evento
En Banco
En este contrato en caso de descompostura se le llama al proveedor y ste cobra de acuerdo a una tarifa y al tiempo que se requiera para componerlo (casi todos los proveedores incluyen, en la cotizacin de compostura, el tiempo de traslado de su oficina a donde se encuentre el equipo y viceversa). Este tipo de mantenimiento no incluye reparaciones.
Este contrato es aquel en el cual el cliente lleva a las oficinas del proveedor el equipo, y ste hace una cotizacin de acuerdo con el tiempo necesario para su solucin ms las reparaciones ( este tipo de mantenimiento puede ser el ms adecuado para computadoras personales).
www.inacap.cl
Al evaluar el mantenimiento debemos primero analizar cul de los tres tipos es el que ms conveniente y en segundo lugar pedir los contratos y revisar con detalles que las clusulas estn perfectamente definidas en las cuales se elimine toda la subjetividad y considerar penalizacin en caso de incumplimiento, para evitar contratos que sean parciales hacia el proveedor.
www.inacap.cl
El rea Informtica debe tener y observar reglas relativas al orden y cuidado del CPD. Los dispositivos del sistema de cmputo deben ser revisados, ya que los archivos, pueden ser daados si se manejan en forma inadecuada, eso puede traducirse en prdidas irreparables o en costos muy elevados en la recuperacin de stos. Se deben revisar las disposiciones y reglamentos que permiten el mantenimiento del orden dentro del CPD.
www.inacap.cl
Los objetivos son evaluar la configuracin actual tomando en consideracin las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalacin y revisar las polticas seguidas por el rea informtica en la conservacin de su CPD.
Evaluar posibles cambios en el hardware a fin de nivelar el CPD con la carga de trabajo actual o de comparar la capacidad instalada con los planes de desarrollo a mediano y largo plazo.
2
3
Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso.
Evaluar la utilizacin de los diferentes Evaluar ladispositivos utilizacin de los diferentes dispositivos perifricos. perifricos.
www.inacap.cl
2
3 4 5
Verifique que se contemplen dentro de los planes de produccin periodos de mantenimiento preventivo. Verifique que se disponga de espacio y tiempo para realizar ejecuciones especiales, de prueba de sistemas en desarrollo y que deban repetirse. Verifique que se tengan definidos el espacio y tiempo para el respaldo de la informacin.
El objetivo de este punto, es evaluar la eficiencia con que opera el rea de produccin:
www.inacap.cl
5.2.1 Aspectos de lgica y confidencialidad 5.2.2 Aspectos relevantes de la seguridad en el personal 5.2.3 Seguridad Fsica 5.2.4 Seguros 5.2.5 Seguridad en la utilizacin de equipamiento 5.2.6 Procedimiento de respaldo en caso de desastre 5.2.7 Procedimientos y controles necesarios para soportar a otras instituciones
www.inacap.cl
En la actualidad, y principalmente en los computadores personales, se ha dado un factor que es muy importante considerar: los llamados Malware", los cuales, aunque tienen diferentes orgenes, son generados principalmente por programas que son copiados e instalados en un computador sin la autorizacin respectiva ("piratas").
www.inacap.cl
MALWARE
Software malintencionado o malware (malicious software), es un Programa informtico que provoca de forma intencionada una accin daina para el sistema y/o usuario.
Tipos de malware
Definicin clsica Virus Gusanos Troyanos Bombas lgicas
evolucin
www.inacap.cl
VIRUS
Se trata de pequeas subrutinas escondidas en los programas que se activan cuando se cumple alguna condicin; por ejemplo, haber obtenido una copia en forma ilegal, y stas pueden ejecutarse en una fecha o situacin predeterminada. Existen varios tipos de virus pero casi todos actan como "caballos de Troya", es decir, se encuentran dentro de un programa y actan a determinada indicacin. Los virus tambin pueden ser activados como si fueran "bombas de tiempo", en una fecha determinada, pueden causar la destruccin parcial o total de la informacin.
www.inacap.cl
www.inacap.cl
Tipo de ataque:
Hacker - Cracker Crasher - Pheacker Phishers Carding-Trashing Lamers Copyhackers Bucaneros Wannaber Samurai - Gurus
www.inacap.cl
Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial.
www.inacap.cl
Algunas instalaciones y sus aplicaciones tienen un alto grado de riesgo, con un gran impacto en la organizacin o en la comunidad, si es que el servicio se interrumpe cierto periodo; otras pueden fcilmente continuar sin afectar grandemente a la organizacin por medio de utilizacin de mtodos manuales.
www.inacap.cl
Clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo) e identificar aquellas aplicaciones que tengan un alto riesgo.
Cuantificar el impacto en el caso de suspensin del servicio en aquellas aplicaciones con un alto riesgo
Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera.
www.inacap.cl
Qu implicaciones tiene el que no se tenga el sistema, y cunto tiempo podramos estar sin utilizarlo?
Definido el grado de riesgo, hay que elaborar una lista de los sistemas con sus medidas preventivas, as como las correctivas en caso de desastre sealando su prioridad.
www.inacap.cl
Clasificar los datos, informacin y programas que contiene informacin confidencial que tenga un alto valor dentro del mercado de competencia, organizacin, e informacin que sea de difcil recuperacin.
Identificar aquella informacin que tenga un gran costo financiero en caso de prdida o bien que pueda provocar un gran impacto en la toma de decisiones. Determinar la informacin que tenga una prdida en la organizacin y, consecuentemente, puedan provocar hasta la posibilidad de que no pueda sobrevivir sin esa informacin.
www.inacap.cl
Un ejemplo de alto riesgo puede ser la informacin confidencial de tipo nacional o bien la informacin sobre el mercado y la publicidad de una compaa.
Un ejemplo de riesgo medio es la nmina, la cual puede ser hecha a mano, utilizar procedimientos alternos o bien un adecuado sistema de respaldos. Un ejemplo de bajo riesgo pueden ser los balances, los cuales pueden ser reestructurados con cierta facilidad.
Para cuantificar el riesgo es necesario efectuar entrevistas con los altos niveles administrativos directamente afectados por la suspensin en el procesamiento y que cuantifiquen el impacto que les puede causar.
www.inacap.cl
2.1 Aspectos de lgica y confidencialidad Para evaluar las medidas de seguridad se debe:
Detallar las medidas en caso de desastre, prdida total, abuso y los planes necesarios
Dar las prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo.
www.inacap.cl
El personal que prepara la informacin no debe tener acceso a la operacin. Los analistas y programadores no deben tener acceso al rea de operacin y viceversa. Los operadores no deben tener acceso liberado a las libreras ni a los lugares donde se tengan los archivos almacenados; es importante separar las funciones de librera y de operacin. Los operadores no deben ser los nicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados. Al implantar sistemas de seguridad, puede reducirse la flexibilidad en el trabajo, pero no debe reducir la eficiencia. Otro de los puntos que hay que evaluar y revisar en forma visual es el orden y limpieza, no tan slo en la sala de cmputo, sino tambin en las oficinas ya que crea posibilidades de fallas en la seguridad.
www.inacap.cl
Politica de Vacaciones
Lo cual nos permite evaluar la dependencia con algunas personas, y evitar esta dependencia
www.inacap.cl
El objetivo es establecer polticas, procedimientos y prcticas para evitar las interrupciones prolongadas del servicio del CPD.
El material y construccin del edificio del CPD no debe tener componentes que sean altamente inflamables, que despiden humos txicos o bien paredes que no estn selladas y despidan polvos
www.inacap.cl
Los ductos del aire acondicionado deben estar limpios, ya que son una de las principales causas de polvo. Se habr de contar con detectores de humo que indiquen la posible presencia de fuego. En las instalaciones de alto riesgo se debe tener equipos de fuente no interrumpible. Se debe verificar que existan suficientes salidas de emergencia y que estn debidamente controladas. En cuanto a los extintores, se debe revisar en nmero de stos, su capacidad, fcil acceso, peso y tipo de producto que utilizan. Utilizacin de extintores inadecuados que pueden provocar mayor perjuicio a las mquinas (extintores lquidos) o que producen gases txicos. Personal debe saber usar los equipos contra incendio y si ha habido prcticas en cuanto a su uso Los materiales ms peligros son las cintas magnticas que, al quemarse producen gases txicos y el papel carbn es altamente inflamable.
www.inacap.cl
Riesgos
Se tiene poco conocimiento de los riesgos de la computacin, ya que muchas veces el riesgo no es claro para los vendedores de seguros, debido a lo nuevo de la herramienta y la poca experiencia que existe sobre desastres.
Vencimientos
Se debe verificar las fechas de vencimiento de las plizas, puede suceder que se tenga la pliza adecuada pero vencida, y que se encuentre actualizada con los nuevos equipos.
Valores
El costo de los equipos puede variar, principalmente en aquellos pases que tienen grandes tasas de inflacin o de devaluacin, por lo que los seguros deben estar a precio de compra y no a precio al momento de contratacin del seguro.
www.inacap.cl
Cobertura de equipos
El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el equipo con las diferentes caractersticas.
Cobertura SW y HW
Tambin se debe asegurar la prdida de los programas (software), de la informacin, de los equipos y el costo de recuperacin de lo anterior.
www.inacap.cl
www.inacap.cl
Controlar los listados tanto de los procesos correctos como aquellos procesos con terminacin incorrecta.
Controlar el nmero de copias, y la destruccin de la informacin y del papel carbn de los reportes muy confidenciales. www.inacap.cl
Equipo, programas y archivos Control de aplicaciones por terminar (definir qu aplicaciones se pueden correr en un terminal especfico) Definir una estrategia de seguridad de la red y de respaldos Requerimientos fsicos Estndar de aplicaciones y de control Estndar de archivos Auditoria interna en el momento del diseo del sistema, su implantacin y puntos de verificacin y control www.inacap.cl
Se debe establecer en cada direccin de informtica un plan de emergencia, el cual ha de ser aprobado por la direccin de informtica y contener tanto procedimiento como informacin para ayudar a la recuperacin de interrupciones en la operacin del sistema de cmputo.
El sistema debe ser probado y utilizado en condiciones anormales, para que en caso de usarse en situaciones de emergencia se tenga la seguridad que funcionar. La prueba del plan de emergencia debe hacerse sobre la base de que la emergencia existe y se han de utilizar respaldos realizados. Las revisiones al plan se deben realizar cuando se haya efectuado algn cambio en la configuracin del equipo o bien en periodos semestrales. El plan de emergencia, una vez aprobado, se distribuye entre personal responsable de su operacin, por precaucin es conveniente tener una copia fuera de la direccin de informtica. En virtud de la informacin que contiene el plan de emergencia, se considerar como confidencial o de acceso restringido. La elaboracin del plan y de los componentes puede hacerse en forma independiente de acuerdo con los requerimientos de emergencia. La estructura del plan debe ser tal que facilite su actualizacin. Algunas emergencias pueden no afectar a toda la instalacin, sino a algunas partes tales como la discoteca y la cintoteca. Para la preparacin del plan se seleccionar el personal que realice las actividades claves de ste. El grupo de recuperacin debe estar integrado por personal de administracin de la direccin de informtica. Cada uno de los integrantes del grupo de recuperacin, debe tener tareas especficas como la operacin del equipo de respaldo, la interfaz administrativa, de logstica, etc.
www.inacap.cl
Los desastres pueden suceder El curso que se desarrolla en clasespodemos expositivas. Cada clasificarlos as: una cierta duracin de minutos en la clase tiene
cual se presentan los contenidos principales del Completa destruccin del centro de cmputo curso, desde una perspectiva de explicacin y Destruccin parcial del centro de cmputo aclaracin de conceptos.
Destruccin o mal funcionamiento de los equipos auxiliares del centro de cmputo (electricidad, aire acondicionado, etc.) Destruccin parcial o total de los equipos descentralizados Prdida total o parcial de informacin, manuales o documentacin Prdida del personal clave Huelga o problemas laborales
www.inacap.cl
www.inacap.cl
www.inacap.cl
de contenidos, aplicacin de dichos contenidos a situaciones especficas, as como un trabajo ya sea prctico o de investigacin.
www.inacap.cl
2.6 Procedimiento de respaldo en caso de desastre Con el fin de contar con servicios de respaldo adecuados y reducir al mnimo las restricciones de proceso, se debern tomar en cuenta las siguientes consideraciones: Mnimo de memoria principal requerida y el equipos perifricos alternativos que permitan procesar las aplicaciones esenciales Se debe tener documentados los cambios de software La evaluacin comprende tanto la parte de En caso de tener respaldos en otroscontenidos sitios contenidos, aplicacin de dichos a disponibles, previamente secomo deber situaciones especficas, as unconocer trabajo el ya sea tiempo de a esos medios. prctico o accesos de investigacin.
www.inacap.cl
Finalmente se deber estudiar confeccionar una lista de requerimientos mnimos que deben tener para un efectivo plan de recuperacin en caso de desastre. Se debe contar con: Copia de programas de produccin Copia de archivos maestros de las aplicaciones clave y sistemas operativos Copia de la documentacin de los sistemas e instructivos de operacin Copia de los archivos necesarios para procesar las transacciones Inventario de formas especiales utilizadas en la operacin normal (se deben incluir tambin papelera normal, cintas magnticas, cintas de impresin) Un local con las instalaciones necesarias (energa, aire acondicionado, piso adecuado, etc.) Convenios para el uso de computadoras compatibles
www.inacap.cl
Una prctica conveniente, que desde hace tiempo se ha venido observando en los centros de procesamiento es establecer arreglos con otros centros para utilizar su equipamiento. Es muy conveniente que este tipo de arreglo se lleve acabo de una manera formal, interviniendo en ellos los niveles jerrquicos ms adecuados para asegurar la seriedad del compromiso.
www.inacap.cl
Condiciones
Controles Procedimientos
www.inacap.cl