EVALUACIN DE LA SEGURIDAD

EVALUACIN DE LA SEGURIDAD Delitos por computadora

La Importancia del resguardo de la informacin se debe a los siguientes motivos: Las computadoras almacenan gran cantidad de informacin y que puede ser confidencial para individuos, empresas e instituciones y esta puede ser mal utilizada o divulgada. La informacin puede ser de suma importancia y no tenerla en el momento preciso puede provocar retrasos costosos. Fraudes, falsificaciones y venta de informacin por medios informticos es un crimen que se encuentra a la alza generando perdidas de miles de millones de dlares. Responsabilidades respecto a procedimientos de auditoria y seguridad rea de informtica: Elaboracin de los sistemas Usuarios: utilizacin que se le de a la informacin y forma de accesarla Depto. de auditoria interna: supervisin y diseo de los controles necesarios.

La seguridad del rea de informtica tiene los siguientes objetivos: Proteger la integridad, exactitud y confidencialidad de la informacin. Proteger los activos ante desastres provocados por la mano del hombre o actos hostiles. Proteger a la organizacin contra situaciones externas como desastres naturales y sabotaje. En caso de desastre, contar con los planes y polticas de contingencia para una pronta recuperacin. Contar con los seguros necesarios que cubran las perdidas econmicas en caso de desastres.

Principales motivos de los delitos por computadora Beneficio personal Beneficios para la organizacin Sndrome de Robn Hood (por beneficiar a otras personas). Diversin o pasatiempo. Individuo con problemas financieros.

 Revanchas y odio a la organizacin. Equivocacin de Ego.(sobresalir de alguna forma) Mentalidad turbada(reconocimiento personal)

Los virus
Concepto: subrutinas escondidas en los programas que se activan cuando se cumple alguna condicin. El riesgo de contraer algun virus en los ordenadores aumenta con el uso de programas piratas ya que pueden contener contenido malicioso. Al auditar los sistemas se debe tener en cuenta que no se tengan copias piratas o bien al conectarse en red a otras computadoras, no exista la posibilidad de transmisin de virus Cinco factores en el incremento de los crmenes informticos: Aumento de personas con conocimientos informticos. Aumento de empleados con acceso a los equipos. Facilidad en el uso de los equipos de cmputo. Incremento en el nmero de aplicaciones e informacin procesada. Incremento de redes y facilidad para utilizar computadoras en cualquier lugar y tiempo.

Puntos de uso inadecuado de las computadoras: Utilizacin de tiempo maquina para usos ajenos al de la organizacin Copia de programas sin respetar los derechos de autor. Acceso a bases de datos para alteracin o robo de informacin. Puntos a tomar en cuenta para la seguridad informtica. Seguridad fsica. (Polticas de acceso fsico y contra incendios, desastres y robo) Seguridad lgica.(seguridad en el uso de software y los sistemas, la proteccin de los datos, procesos y programas, as como la del acceso ordenado y autorizado de los usuarios a la informacin.)

SEGURIDAD LGICA Y CONFIDENCIALIDAD

La seguridad lgica es la encargada de resguardar los controles de acceso que estn diseados para salvaguardar la integridad de la informacin almacenada de una computadora as como de controlar el mal uso de la informacin. Inadecuado control de acceso lgico provoca: Potencial prdida de informacin. Uso de informacin de manera inadecuada. Entrada de virus Perdida de integridad de la informacin. Falta de control de acceso de los usuarios y rastreo de sus actividades en el sistema. Fraudes provocado por los empleados en el desarrollo de sus funciones

Control de acceso
Paquetes de software de control de acceso protegen contra el acceso no autorizado pues piden al usuario una contrasea para permitirle el acceso a informacin confidencial. Dado que este sistema es relativamente fcil de eludir hay que disponer de un sistema integral de seguridad que debe comprender: Elementos administrativos Definicin de una poltica de seguridad. Organizacin y divisin de responsabilidades

Seguridad Lgica
Es importante definir el nivel de acceso de los usuarios por lo cual se definen los siguientes tipos de usuarios: Propietario. Tiene permitido consultar, modificar. Actualizar, dar autorizacin de entrada. Administrador. Solo con autorizacin podr modificar o actualizar el software pero no podr modificar la informacin. Es responsable de la seguridad lgica e integridad de los datos. Usuario principal. Autorizado por el propietario puede hacer modificaciones, lectura y modificacin de los datos pero no dar permiso a otros usuarios.

 Usuario de consulta. Solo puede leer la informacin pero no modificarla. Usuario de explotacin. Puede leer la informacin y utilizarla principalmente para hacer reportes. Usuario de auditoria. Puede utilizar la informacin y rastrearla dentro del sistema para fines de auditoria. Aspectos a resguardar por la seguridad lgica. Integridad Confidencialidad Disponibilidad El control implantado para minimizar estos riesgos debe considerar los siguientes factores: El valor de los datos siendo procesados. La probabilidad de que ocurra un acceso no autorizado Las consecuencias para la organizacin si ocurre un acceso no autorizado. El riesgo y repercusiones en caso de que un usuario no autorizado utilice la informacin. La seguridad lgica abarca las siguientes reas: Rutas de acceso Claves de acceso Software de control de acceso Encriptamiento.

Rutas de acceso
Un usuario debe pasar por uno o mltiples niveles de seguridad antes de obtener el acceso a los programas y datos. Los tipos de restricciones de acceso son: Solo lectura Solo consulta Lectura y consulta Lectura y escritura.

Los puntos que toma en cuenta este esquema: Usuarios del sistema Tipos de dispositivos de acceso al sistema Software utilizado para el acceso al sistema. Recursos que pueden ser accesados. Sistemas donde residen estos recursos(lnea, fuera de lnea, en batch y rutas de comunicacin)

Claves de acceso
Existen diferentes mtodos de identificacin para el usuario: Password o cdigo Credencial con banda magntica. Caractersticas propias del usuario. Las llaves de acceso deben tener las siguientes caractersticas: El sistema debe verificar primero que el usuario tenga una llave de acceso valida. La llave de acceso debe ser de una longitud adecuada para ser un secreto. La llave de acceso no debe ser desplegada cuando es tecleada. Las llaves de acceso deber ser encriptadas. Las llaves de acceso deben de prohibir el uso de nombres, palabras o cadenas de caracteres difciles de retener, adems el password no deber ser cambiado por un valor pasado. Credenciales con banda magntica. La banda magntica de las credenciales es frecuentemente usada para la entrada al sistema y es importante que esta sea elaborada de manera que se imposible de reproducir. Ventaja importante de la credencial es prevenir la entrada de impostores al sistema. Validacin por caractersticas. Mtodo para la identificacin del usuario que es implantado con tecnolgica biomtrica. Algunos de los mtodos biomtricos son: Las huellas dactilares La retina

 La geometra de la mano La firma La voz

Software de control de acceso

Software diseado para permitir el manejo y control del acceso a los siguientes recursos: Programas de libreras Archivos de datos Jobs Programas en aplicacin Mdulos de funciones Diccionario de datos Archivos Programas Comunicacin

El software de control de acceso tiene las siguientes funciones: Definicin de usuarios Definicin de las funciones del usuario despus de accesar al sistema. Establecimiento de auditoria a travs del uso del sistema. La mayor ventaja del software de seguridad es la capacidad para proteger los recursos de accesos no autorizados incluyendo los siguientes: Procesos en espera de modificacin por un programa de aplicacin Accesos por los editores en lnea. Accesos por utileras de software Accesos a archivos de las bases de datos, a travs de un manejador de base de datos(DBMS). Acceso en terminales o estaciones no autorizadas Otra caracterstica es que pueden detectar las violaciones a la seguridad, y tomar las siguientes medidas: Terminaciones de procesos Forzar a las terminales a apagarse Desplegar mensajes de error Escribir los registros para la auditoria

Otros tipos de software de control de acceso

A. Sistemas operativos. Los elementos de seguridad de los sistemas operativos incluyen lo siguiente: Control de salidas de los programas al modificarse cdigos. Los sistemas operativos usan claves de acceso. Limitar el nmero de accesos. Permiten una instalacin para la implementacin opcional de caractersticas de seguridad cuando el sistema es instalado. Tienen un completo control sobre las actividades de todas las aplicaciones que estn corriendo en el sistema.

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

Tanto el administrador del sistema como el administrador de seguridad de datos establecen sus privilegios a travs del sistema operativo. Los sistemas operativos permiten la definicin de consolas o terminales maestras desde las cuales los operadores pueden introducir comandos al sistema operativo. B. Software manejador de base de datos. Software que permite controlar organizar y manipular los datos. Provee mltiples caminos para accesar a los datos de la base d datos. Maneja la integridad de datos entre operaciones, funciones y tareas de la organizacin. Identificacin de los usuarios de la base de datos. Respaldos y restauracin de la base de datos. Reportes estadsticos de las bases de datos. C. Software de consolas o terminales maestras. Puede ser definido como varios programas del sistema operativo que proveen soporte y servicio para que las terminales en lnea acceden a los programas en aplicacin. Incluyen funciones de seguridad para restringir el acceso a los datos, va programas en aplicacin. Definen los usuarios autorizados y los programas a los que pueden accesar. Mantienen un registro de claves de acceso diario, validas y no validas. D. Software de libreras. Consta de datos y programas especficos escritos para ejecutar una funcin de la organizacin. Utilizado para mantener y proteger los recursos de programas de libreras Control de cambios y procedimientos de documentacin. Controlar y describir los cambios de programas en una bitcora. Definir las libreras y sus respectivos niveles de proteccin.

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

E. Software de utileras. Existen dos tipos de software de utileras. Usado en los sistemas de desarrollo para proveer productividad. (ejemplos: desarrollo de programas y editores en lnea) Usado para asistir en el manejo de las operaciones de la computadora (Ejemplos: monitoreos, calendarios de trabajo, sistema manejador de disco y cinta).

RIESGOS Y CONTROLES A AUDITAR

Controles de software de seguridad general, Aplican para todos los tipos de software y recursos relacionados y sirven para: El control de acceso a los programas y a al informacin Vigilar los cambios realizados. Las bitcoras de auditoria. Control de acceso a programas y datos (generalmente a travs de password).

Las bitcoras de auditoria son usadas para monitorear los accesos permitidos y negados. El software debe contener una bitcora de sus funciones, principalmente si se modifican funciones o datos.

Controles de software especifico. Acceso restringido Tablas de acceso de acuerdo a las funciones de cada usuario Procedimientos para restringir modificaciones no autorizadas a programadores de aplicaciones. Limitar a un acceso en especifico(Ejemplos: lectura y modificacin) Tablas de acceso debern ir encriptadas. Las bitcoras de auditoria debern protegerse de modificaciones no autorizadas.

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

Software de sistemas operativos. Passwords e identificadores debern ser confidenciales. Acceso a software de sistema operativo es restringido Los administradores de la seguridad son los nicos con autorizacin para modificar funciones del sistema, procedimientos y tablas de usuarios. El acceso a utileras del sistema operativo ser restringido. Instalaciones y reinstalacin deben ser monitoreadas. Uso de todas las funciones del software debe ser controlado. Revisar bitcoras de auditoria para determinar accesos no autorizados o modificaciones. Software manejador de base de datos. Acceso a los archivos restringido de manera lgica a nivel de tipo de campo(validacin de campos). Control de acceso al diccionario de datos. Base de datos segura mediante control de acceso del software DBMS. La bitcora de auditoria reportara accesos al diccionario de datos. Las modificaciones de capacidades desde el DBMS para la base de datos se limitan al personal apropiado. Software de consolas o terminales maestras. Cambios realizados debern ser protegidos y controlados. Software de libreras Mantener una bitcora de todas las actividades realizadas. Comparar dos versiones de programas en cdigo fuente y reportar las diferencias. Limitar el acceso a programas o datos almacenados por el software de libreras. Impedir el acceso a passwords o cdigo de autorizacin a individuos no autorizados. Cambios protegidos y controlados.

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

Software de utileras Acceso restringido Establecimiento de niveles de autorizacin para los usuarios. Bitcora de auditoria de usos y actividades. Precauciones para la manipulacin de los datos y evitar uso no autorizado.

Software de telecomunicaciones Controlar el acceso a datos sensibles y recursos de la red. Acceso diario deber ser monitoreado y protegido. Datos protegidos contra modificacin y acceso no autorizado durante transmisin o en almacenamiento temporal. Consideraciones al auditar Control de acceso a programas y a la informacin Control de cambios Bitcoras de Auditoria Durante el ciclo de vida del software deben ser evaluadas u instalacin, mantenimiento y operacin. Asegurar la integridad, confidencialidad y aprovechamiento de los datos y recursos del sistema.

Software de control de acceso.

Para este software se deben tomar las siguientes consideraciones:

Diseo y administracin Procedimientos de identificacin y autentificacin del usuario. Recursos para controlar el acceso Reportes y vigilancia

Sistemas operativos
Se deber evaluar y probar las siguientes cuestiones: Supervisin y privilegios para programas y usuarios Controles de acceso

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

Bitcoras de auditoria Diagnostico del almacenamiento correcto de informacin importante. Software del sistema manejador de base de datos. Revisar, evaluar y probar lo siguiente: Controles de acceso a la base de datos y diccionario de datos Restriccin de acceso en los archivos por niveles. Seguridad de campos Identificacin y autentificacin de usuarios Comandos y funciones del diccionario de datos Bitcoras de auditoria Software de desarrollo que afecta la seguridad del DBMS Software del manejo de libreras Revisar, evaluar y probar lo siguiente: Documentacin de libreras Los nmeros de versin del software Procedimientos inusuales de las libreras Restriccin de acceso a libreras Software de utileras Revisar, evaluar y probar lo siguiente: Funciones y comandos Control de acceso Identificacin y autentificacin Capacidad de uso de los usuarios Bitcoras de auditoria

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

Software de telecomunicaciones Revisar, evaluar y probar lo siguiente: Restricciones al acceso de las redes basadas en tiempo, da, usuario, lugar y terminal. Apagado automtico de terminales inactivas Controles de acceso Seguridad fsica Identificacin y autentificacin Proteccin de comunicaciones entre los elementos de la red, Encriptacin de datos y mensajes dentro de la red.

ENCRIPTAMIENTO
Es el arte de proteger la informacin transformndola con un determinado algoritmo dentro de un formato para que no pueda ser leda normalmente y solo aquellos usuarios que tengan clave acceso podrn desencriptar la informacin para que pueda ser leda. El propsito es asegurar la privacidad y confidencialidad de la informacin.

Clasificacin de sistemas de encriptamiento De llave simtrica (llave comn para receptor y emisor) De llave publica (llave publica para emisor y llave privada que solo conoce el receptor)

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

Firma digital
Es un conjunto de datos que son creados usando una llave secreta y una publica para validar que esta firma fue generada usando la llave privada correspondiente. Tiene la misma funcin de cualquier firma escrita en cualquier documento y es usada para verificar que un mensaje realmente viene de la persona que se seala como la que lo enva.

Autentificacin digital Proceso mediante el cual el emisor o receptor de un mensaje digital confidencial tiene una identificacin valida para enviar o recibir un mensaje. Un sistema seguro de firmas digitales debe comprender dos partes: 1. Mtodo para firmar el documento confiable para no ser usado por terceras personas. 2. Mtodo que verifique que la firma fue generada por el que ella representa.

Criptoanlisis
Es el arte de desencriptar comunicaciones sin conocer las llaves apropiadas. Existen muchas tcnicas para lograrlo entre las ms comunes estn: Ataque a textos encriptados. El atacante no conoce nada acerca del

contenido del mensaje y debe trabajar nicamente en el contenido del mensaje. Ataque conociendo el texto original. El atacante conoce una parte del texto o de la llave usada para encriptar con ella intenta descubrir el mensaje. Ataque hecho por medio de escoger un texto encriptado. El atacante tiene el objetivo de determinar la llave con la cual se encripto el texto.

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

Atacar en la parte central. Consiste en que cuando dos personas estn intercambiando llaves de seguridad el atacante se pone en medio de la lnea de comunicacin. Ataque en el tiempo. Este es un nuevo tipo de ataque y esta basado en la medicin repetitiva de los tiempos exactos de ejecucin. Por todo ellos es recomendable que el programador conozca las formas de encriptamiento, sus ventajas y desventajas, asi como su costo, para determinar la mejor y el auditor verifique la forma de encriptamiento y seguridad de acuerdo con los requerimientos de seguridad de cada sistema. Protocolos y estndares para criptografa: DNSSEC: Protocolo para servicio seguro de distribucin de nombres. CSSAPI: Provee autentificacin genrica, llaves de intercambio e interfaces de encriptamiento para diferentes sistemas y mtodos de autentificacin. SSL protocolo para una conexin segura de web. SHTTP: protocolo para dar mas seguridad a las transacciones de web. MSP: Message security protocol PKCS: Public key encryption Standards. SSH2: Aplicacin y Protocolo propio para la transmisin segura de los datos. Algoritmos de encriptamiento DIFFIE HELLMAN DSS(Digital signature Standard) ELGAMAL LUC Symetricos

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

DES BLOWFISH IDEA RC4 SAFER

Seguridad en el personal
Un buen centro de cmputo depende, en gran medida, de la integridad, estabilidad y lealtad del personal, por lo que al momento de reclutarlo es conveniente hacerle exmenes psicolgicos y mdicos y tener muy en cuenta sus antecedentes de trabajo, as como considerar sus valores sociales y su estabilidad. Caractersticas del personal El personal de informtica debe tener desarrollado: Un alto sistema tico De lealtad Honesto Dentro de una empresa se debe de verificar que existan polticas de vacaciones y de reemplazo de personal. Tambin se debe tener polticas de rotacin de personal que disminuya la posibilidad de fraude. Se debe de evaluar la motivacin del personal, ya que un empleado motivado tiende a tener un alto grado de lealtad lo cual ayuda a disminuir la posibilidad de ataques intencionados a la organizacin. Las formas para lograr la motivacin es darle al personal capacitacin y actualizacin, as como proporcionarle las retribuciones e incentivos justos.

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

10

Seguridad fsica
La Seguridad Fsica consiste en la "aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. El objetivo es establecer polticas (que debe de hacer la empresa para alcanzar sus propsitos o), procedimientos (son planes por medio de los cuales se establece un mtodo para el manejo de actividades futuras) y prcticas para evitar las interrupciones prolongadas del servicio de procesamiento de informacin, debido a contingencias como incendios, inundaciones, huelgas, disturbios, sabotaje, terremotos, huracanes, etc., y continuar en un medio de emergencia hasta que sea restaurado el servicio por completo.

Ubicacin y construccin del centro de cmputo En el pasado las empresas acostumbraban colocar los equipos de cmputo en un lugar visible con grandes ventanales y que fueran visibles para el pblico, ya que era un orgullo para la organizacin. Pero sin duda esto ha ido cambiando radicalmente con el paso del tiempo por el riesgo de terrorismo y sabotaje. Las empresas hoy en dia lo que hacen es colocar el equipo de cmputo en lugares aislados fuera del paso de las reas de alto trfico de persona, ya que interfiere con la eficiencia en el trabajo y disminuye la seguridad. Con respecto a la construccin del edificio para centro de computo el material que se debe de tomar en cuenta y precaucin son los materiales altamente inflamables, las paredes que no quedan completamente selladas. Por otro lado se debe de tomar en cuenta la ubicacin del centro de computo, que no se deben de ubicar en las zonas del edificio en donde este expuesto a que todo el da le est dando el sol y evitar los ventanales grande, ya que pueden ser riesgosos para la seguridad del mismo.

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

11

Las dimensiones del centro deben de determinarse de acuerdo con la cantidad de componentes del sistema el cual deber de contar con su espacio suficiente para su mantenimiento y el rea de operacin. Por ello, las paredes y paneles deben ser removibles ya que pueden ser utilizados para facilitar ampliaciones futuras. Adems en los centros de cmputo se debe de prever espacio para lo siguiente: Almacenamiento de equipos magnticos Formatos y papeles para impresoras Mesas de trabajo y muebles rea y mobiliario para manteniendo Equip de telecomunicaciones rea de programacin Consolas del operador rea de recepcin Microcomputadoras Fuentes de poder Bveda de seguridad (anti-incendios).

Piso elevado o cmara plena Los pisos elevados o pisos falsos en la actualidad solo son utilizados para macro computadoras. Una de las ventajas que tienen los pisos falsos es que permite organizar el tendido y proteccin del cableado del sistema y facilita el reacomodo del sistema. Un piso elevado debe de ser capaz de soportar una carga uniforme, debe de considerarse la capacidad de soportar unidades adicionales segn el potencial de crecimiento. Se recomienda que el acabado del piso sea hecho de plstico antiesttico y la superficie del piso elevado sea de 45 cm de alto, cuando es usado como cmara plena de aire acondicionado. La altura del plafn desde el piso falso terminado

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

12

debe ser de 2.4 m. asimismo los paneles del piso elevado deben poder ser removidos fcil para permitir la instalacin del cableado del sistema.

Aire acondicionado El equipo de aire acondicionado es otro dispositivo que depender del tipo de computadora que se utilice y del lugar donde est instalado, por lo cual se recomienda verificar la temperatura mxima y la mnima, as como la humedad en la deber trabajar los equipos. Las instalaciones del aire son una fuente de incendios, son susceptibles de ataques fsicos a travs de los ductos. Se debe de instalar redes de proteccin en el sistema de los ductos interiores y exteriores, adems de contar con detectores de humo que indiquen la presencia de fuego. Se recomienda que la presin del aire en el centro de cmputo sea superior a la de las reas adyacentes para reducir as la entrada de polvo.

Instalacin elctrica y suministro de energa La instalacin elctrica es uno de los dispositivos que debe de ser evaluados y controlados, ya que no solamente pueden provocar fallas elctricas que pueden producir perdidas de informacin y de trabajo, sino que es el principal provocador de incendios. Los cables del sistema elctrico deben estar perfectamente identificados (positivos, negativos y tierra fsica), deben de existir conexiones independientes para los equipos de computo. Es importante contar con tierra fsica, ya que protege a los equipos contra un cortocircuito en caso de una descarga. Las variaciones de energa en una lnea pueden ser causados por el encendido o el apagado de maquinas elctricas. El flujo de corriente de un sistema de iluminacin puede producir picos de ruidos que pueden exceder el nivel de energa aceptable para una unidad de sistema. Por ello es recomendable que el sistema elctrico en los equipos informticos cuente con tierra fsica y si es posible con corriente contnua.

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

13

Reguladores Son dispositivos elctricos que reducen el riesgo de tener un accidente por los cambios de corriente. Si en una instalacin informtica solo se tiene un regulador se debe verificar y controlar que el nmero de equipos conectados sean acordes con las cargas y especificaciones del regulador. Adems de debe de verificar si no solo estn conectados los equipos de computadores personales, sino otros dispositivos perifricos. Esto puede provocar dos problemas: que el regulador no proteja a todos los equipos por que el requerimiento elctrico sobre pasa sus capacidades, el otro es que puede provocar una descarga en los contactos que provoque un incendio. Se recomienda utilizar un sistema de energa no interrumpido (UPS) consiste en un generador de batera o de gas el cual hace interfaz entre la energa y el dispositivo de entrada de energa elctrica a la computadora. Adems de provee energa elctrica a la computadora por un cierto periodo, puede ser de horas o minutos de forma que permita respaldar la informacin. Para reducir los incendios los cables deben ser puestos en paneles y canales resistentes al fuego. Generalmente estos canales y paneles se encuentran en el piso del centro de cmputo. Se deben de ubicar fuera del paso del personal y que no se encuentren por toda la oficina. Los circuitos ramificados para la iluminacin y los sistemas de aire no deben estar conectados a los tableros de potencia utilizados por el sistema. El proveedor debe de proporcionar un tablero de distribucin que debe de contar con interruptor general, el tablero debe de ubicarse en un lugar accesible.

Seguridad contra desastres provocados Los centros de cmputo deben de colocarse en las reas altas de una estructura de varios pisos, aunque hay que cuidar que en zonas ssmicas no queden en lugares donde el peso ocasionado de los equipos pueda provocar problemas.

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

14

En caso de ser una zona de inundaciones o con problemas de drenaje la mejor opcin es colocar el centro en zonas donde el riesgo de la inundacin no sea evidente. Algunas causas de esto pueden ser la ruptura de caeras o el bloqueo del drenaje, para esto debe de instalarse detectores de agua o inundacin, as como bombas de emergencia.

Seguridad de autorizacin de accesos Es importante asegurarse que los controles de acceso sean estrictos durante todo el dia en el cual est incluido todo el personal de la organizacin, en especial el personal de informtica as como cualquier otro ajeno a la instalacin se debe de identificar antes de entrar a est. Recursos que se pueden utilizar para un centro de cmputo son: Puerta con cerradura: requiere una llave de metal la cual debe ser difcil de duplicar. Puerta de combinacin: es un sistema que usa la combinacin de nmeros para permitir el acceso. Esta combinacin debe de ser cambiada regularmente cuando el empleado termino su labor dentro de este, esto reduce el riesgo de que la combinacin sea conocida por gente no autorizada. Puerta electrnica: el sistema usa una tarjeta de plstico magntica como llave de entrada, que contiene un cdigo especial interno es ledo por un sensor activa el seguro de la puerta. Puertas sensoriales: son activadas por el individuo por medio de la huella dactilar, la retina, la voz, etc. Registro de entradas: los visitantes deben de registrar indicando su nombre, su compaa, la razn de la visita y la persona a la que visita, adems debe de presentar una identificacin con foto ya que de esta forma se tiene

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

15

seguridad de autentificacin de informacin. El registro se encuentra en la recepcin del centro de cmputo. Videocmaras: deben de ser colocadas en puntos estratgicos en donde se pueda monitorear el centro de cmputo. Escolta controlada para el acceso de visitantes: los visitantes deben ser acompaados siempre por un empleado de la organizacin. Puertas dobles: estas se usan en los lugares de alta seguridad: en donde la segunda puerta se utiliza en caso de que la primera este cerrada. Alarmas: las alarmas se deben de usar hasta donde sea posible de forma indiscreta de manera que no atraiga la atencin as este.

Deteccin de humo y fuego, extintores Los detectores de humo se deben de colocar lejos de los aparatos de aire acondicionados, ya que estos pueden difundir el humo o el calor y no permitir que se active el detector. Estos detectores deben de ser colocados en los centros de cmputo, en las reas de oficina incluyendo el permetro fsico de las instalaciones. Las alarmas contra incendios deben de estar conectadas con la alarma central del lugar o con el departamento de bomberos. La documentacin sobre los sistemas, la programacin y las operaciones necesitan tener un respaldo especfico en el plan de contingencias. Deben de haber procedimientos de respaldo que garantice la actualizacin de documentacin de manera rutinaria. Debe de existir un sistema de deteccin de humo por ionizacin para aviso anticipado. Se deben de colocar en lugares estratgicos extintores porttiles, se debe de revisar el nmero de estos, la capacidad, fcil acceso, peso y tipo de producto que utiliza. Las cintas y los discos magnticos deben almacenarse en un lugar aparte y se debe de contar con acceso al centro de cmputo. La sala en la que se almacenara esta informacin debe de contar con las condiciones ambientales y seguridad

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

16

necesaria ya que es ms importante la informacin que ese encuentra ah que el propio equipo de cmputo. Las cintas y los discos deben de almacenarse en armarios con paredes espacialmente fabricadas para resistir por lo menos 2 horas de fuego.

Temperatura y humedad Los equipos grandes de cmputo (mainframes), o computadoras personales que son usadas en zonas muy clidas por lo cual necesitan de un sistema de aire acondicionado diseado para estar en operacin constante con base a los siguientes parmetros: Disipacin trmica (BTU): que se muestra en unidades trmicas britnicas por hora. Movimiento de aire (CFM): el aire se muestra en pies cbicos por minuto. Perdida de transferencia de calor: existen perdidas por las siguientes curvas: o A travs de paredes, pisos y techos o por la iluminacin. o Diferencias de temperatura entre las salas de cmputo y reas adyacentes. o Ventas expuestas a los rayos del sol. Los parmetros anteriores permitidos deben de ser especificados por el proveedor del equipo, aunque la temperatura recomendada es 240c.

Seguridad en contra de virus Un virus de computadora es un programa o serie de instrucciones que al infectar otros programas provoca que se modifiquen sus instrucciones o bien que al infectar los datos a la informacin provoquen variaciones en los resultados previstos.

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

17

Daos de virus Los daos ms comunes son: Suplantacin de datos Eliminacin aleatoria Destruccin de la produccin Modificacin de los cdigos de proteccin Bloqueo de redes Cambios de informacin entre usuarios Por medio de un canal encubierto, cambiar, accesar o difundir claves de seguridad. Saturacin, reduccin de disponibilidad o cambio de parmetros Combinacin de los anteriores

En un principio los virus infectaban la parte protegida de la memoria o los programas, pero se han extendido en el sentido que no solo infectaba al usuario, sino que tambin a los usuarios de informacin. Es que se presentaba en las redes y en las bases de datos, pero en la actualidad se tienen problemas de persistencia, ya que el virus es encapsulado hasta infectar al sistema. Para evitar que los virus se diseminen en los programas computarizados o por las redes se debe: Utilizar paquetes o programas originales Limitar su utilizacin: solo permitir el acceso a personal autorizado Limitar el transito, evitar la navegacin por todos los sistemas. Limitar la programacin y controlarla adecuadamente

Otra forma de protegerse es a travs de analizadores de virus. Entre los problemas de la utilizacin de analizadores y vacunas contra virus estn: Son efectivos solo contra virus o patrones de ataques conocidos Utiliza muchos recursos y tiempo para detectar virus en redes para analizarlos. Se deben estar actualizando constantemente para que se han efectivos No son efectivos para detectar virus evolutivos Algunos producen resultados positivos falsos

Protecciones contra virus y elementos a auditar Para tener una buena proteccin se debe evaluar y auditar que todos los paquetes que se estn utilizando sean originales; el problema es descubrir que elemento nos sirve para detectar que paquete es original. Para esto se tiene la factura, el disquete original, el manual, la hoja de garanta y en algunos casos la licencia. En un principio los virus se encontraban en los programas de juegos, por lo cual se toman medidas de eliminar los juegos de las computadoras de las oficinas lo que disminuye la posibilidad de infeccin.

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

18

Elementos a auditar: Se debe de verificar que las computadoras tengan analizadores y desinfectadores de virus instalados y actualizados. Que los sistemas estn debidamente aislados de los dems sistemas Deben de existir polticas o procedimientos de actuacin en caso de que exista algn virus, tanto para computadoras como para las redes Contar con equipos conocidos como CERT (equipo de respuesta de emergencias de computadora). El cual tienen la responsabilidad de detectar cualquier problema de virus, capacitar los usuarios y determinar las precauciones tcnicas necesarias y asegurarse de que los sistemas tcnicos y humanos funcionen bien en caso de emergencia.

SEGURIDAD EN LA UTILIZACION DEL EQUIPO

Se debe restringir el acceso a los programas y a los archivos. Se debe asegurar en todo momento que los datos y archivos usados sean los adecuado, procurando no usar respaldos inadecuados. No permitir la entrada a la red a personas no autorizadas. En caso de informacin confidencial de ser posible usarse en forma codificada o criptografiada. Se debe monitorear peridicamente el uso que se le esta dando a las terminales. Deben existir registros que reflejen la transferencia de informacin entre las diferentes funciones de un sistema. Debe controlarse la distribucin de las salidas(reportes, cintas, etc.). Se deben guardar copias de los archivos y programas en lugares ajenos al centro de computo.

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

19

En los sistemas de cmputo en que se tiene sistemas en tiempo real, base de datos y red de computadoras, se deben tomar medidas de alta seguridad en: Equipos, programas y archivos. Control de aplicaciones por terminal. Definir una estrategia de seguridad de la red y de respaldos. Requerimientos fsicos. Estndar de aplicaciones y de control. Estndar de archivos. Auditoria interna en el momento del diseo de sistema, su implementacin y puntos de verificacin y control.

SEGURIDAD AL RESTAURAR EL EQUIPO

Es importante definir procedimientos en caso de una posible falla o siniestro. En todas las actividades relacionadas con las ciencias de la computacin existe un riesgo aceptable; es necesario analizar y entender estos factores para establecer los procedimientos que permitan eliminarlos al mximo, y en caso de qu ocurran, poder reparar el dao y reanudar la operacin lo mas rpidamente posible. Se deben definir planes de recuperacin y reanudacin, para asegurarse que los usuarios se vean afectados lo menos posible en caso de falla o siniestro. En algunos casos es conveniente: No realizar ninguna accin y reanudar el proceso. Reconfigurar los recursos disponibles, tanto de equipo y sistemas como de comunicaciones.

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

20

OBJETIVOS DEL PLAN DE CONTINGENCIA

Minimizar el impacto del desastre en la organizacin. Establecer tareas para evaluar los procesos indispensables de la organizacin. Evaluar los procesos de la organizacin. Determinar el costo del plan de recuperacin, incluyendo la capacitacin y la organizacin para restablecer los procesos crticos de la organizacin cuando ocurra una interrupcin de las operaciones.

ETAPAS DEL PROYECTO DEL PLAN DE CONTINGENCIA Anlisis del impacto en la organizacin Seleccin de la estrategia Preparacin del plan Prueba Mantenimiento

Para evaluar la instalacin en trminos de riesgo se debe

Clasificar los datos, la informacin y los programas que contengan informacin confidencial de alto valor dentro del mercado. Identificar aquella informacin que tenga un gran costo financiero. Determinar la informacin que pueda representar una gran perdida en la organizacin.

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

21

OBJETIVOS DEL PLAN DE CONTINGENCIA Minimizar el impacto del desastre en la organizacin. Establecer tareas para evaluar los procesos indispensables de la organizacin. Evaluar los procesos de la organizacin. Determinar el costo del plan de recuperacin, incluyendo la capacitacin y la organizacin para restablecer los procesos crticos de la organizacin cuando ocurra una interrupcin de las operaciones.

ETAPAS DEL PROYECTO DEL PLAN DE CONTINGENCIA Anlisis del impacto en la organizacin Seleccin de la estrategia Preparacin del plan Prueba Mantenimiento

PARA EVALUAR LA INSTALACION EN TERMINOS DE RIESGO SE DEBE

Clasificar los datos, la informacin y los programas que contengan informacin confidencial de alto valor dentro del mercado. Identificar aquella informacin que tenga un gran costo financiero. Determinar la informacin que pueda representar una gran perdida en la organizacin.

EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO

22

CUESTIONARIOS Y ENTREVISTAS
Los cuestionarios y la informacin obtenida durante la entrevista definen los criterios para determinar los procesos crticos.

PERSIGUEN LOS SIGUIENTES OBJETIVOS: Identificar los procesos crticos y necesarios de la organizacin. Identificar los procesos crticos en cuanto a la imagen y operacionalidad de la empresa. Determinar los procesos con probabilidad de ser destruidos Definir recursos alternativos de informacin y servicio Determinar el costo financiero de un desastre y el probable tiempo de recuperacin. Identificar amenazas especficas de cada proceso crtico.