miércoles, 15 de abril de 2015

Auditoria Informática

Propósito de auditoría Informática (AI)


La función de AI es garantizar que los sistemas de ordenador:

  • Salvaguardan los “bienes” de la organización
  • Mantienen la integridad de los datos.
  • Alcanzan los objetivos de la empresa de un modo eficaz y efectivo.


Visión General.

Uno de los problemas que han surgido con el uso generalizado de los ordenadores es la  necesidad de mantener la integridad de los datos. A medida que los ordenadores toman mayor control de los datos, la carencia de un control directo sobre los mismos se vuelve cada vez mayor y esto proporciona una inquietud creciente en las empresas.
Debido a esto tenemos que considerar:


  • Implicación: Estamos en manos de la Informática. Por ejemplo, ningún banco, sin importar su tamaño, sería capaz de realizar su trabajo sin ayuda de la informática.
  • Cuestión: ¿Quién garantiza que los procesos informáticos son correctos? ¿Quién garantiza a un usuario que la liquidación periódica de su cuenta corriente es correcta, por ejemplo?

Necesidad de Control y AI.

Estando en un medio informático en el que el ordenador realiza de forma automática las tareas tendremos que controlar si lo que hace es lo que realmente queremos que haga.

Los ordenadores juegan un papel muy importante al ayudarnos en el proceso de datos, por lo que hay que controlar su uso, ya que en el procesamiento de datos es uno de los puntos donde se puede producir el fraude con mayor facilidad.


Coste de la pérdida de datos en las organizaciones.

En la actualidad, los datos son recursos críticos para la continuidad de las funciones de cualquier empresa, y su importancia dependerá de lo vital que sea para la organización.

 Para poder proteger estos recursos será necesario establecer una política a nivel organización, de copias de seguridad y recuperación. Por su importancia, se estudiarán estos temas con más profundidad más adelante.


Toma de decisiones incorrecta.

Los datos nos van a permitir entre otras cosas realizar tomas de decisión. Pero para que las decisiones tomadas a partir de los datos sean correctas, tendremos que garantizar que los datos que nos son suministrados son asimismo correctos.


Abuso Informático o Abuso del Ordenador.


Se podría pensar que el abuso informático constituye la causa principal de la necesidad de AI. Errores y omisiones que originan pérdidas frecuentemente, son el motivo de toma de decisiones erróneas. Esto nos obliga a plantear soluciones para estas dos causas en primer lugar, antes incluso que al abuso informático.

No podemos dejar de establecer controles para evitar el abuso informático, dado que los costes derivados de éste suelen ser muy superiores a los producidos por el abuso “manual”, o a los derivados de las dos causas anteriormente citadas.

Privacidad de los datos.

Desde la llegada de los ordenadores la difusión incontrolada de estos datos se ha convertido en un serio problema, principalmente debido a que crear, actualizar y difundir una base de datos con datos personales de posibles clientes es mucho más fácil ahora que cuando los sistemas eran manuales.

La privacidad de los datos es un derecho la Ley de Protección de Datos de Carácter Personal asegura la confidencialidad de los datos y protege a los propietarios de los mismos del uso ilegítimo de ellos por terceras personas.



Evolución controlada del uso del ordenador.

La tecnología en general es neutral: es decir, no es buena ni es mala. Lo que realmente puede ocasionar problemas es su uso incorrecto. Para garantizar que esto no ocurra, hay que tomar decisiones importantes sobre cómo se deben usar los ordenadores en la sociedad. 

La función del gobierno, de las sociedades profesionales y de los distintos grupos de presión el evaluar el uso “racional” de la tecnología.


Definición de AI: Estudio pormenorizado

El proceso de recoger evidencias para determinar si un sistema informático salvaguarda los bienes, mantiene la integridad de los datos, alcanza los objetivos de la empresa de un modo efectivo y consume recursos con eficacia.

Existen 2 tipos de auditorías las cuales son:

Auditoria Externa: Se encarga de centrar en los objetivos de seguridad (Salvaguarda bienes e integridad de datos)

Auditoria Interna: Se centra en los objetivos de gestión, garantizar que las tareas se realicen en grados adecuadas de efectividad y eficacia.


Objetivos de salvaguarda de bienes.

Se consideran como “bienes” al hardware, software, personas, datos (ficheros, bases de datos, etc.), documentación, suministros, etc. Además de estos bienes se concentran todos en un mismo sitio, ámbito físico del CPD, por lo que deben de ser especialmente protegidos por un sistema de control interno, y su producción debe ser un objetivo importante.

Objetivos de integridad de datos.

Uno de los aspectos que debemos cuidar especialmente es la integridad de los datos, pero realizar esta tarea nos va a suponer un coste frente a los beneficios esperados al implantar unas medias de seguridad.

Para determinar los costes y beneficios existen 2 factores que afectan al valor de un de un dato para la empresa:


  • Valor de la información que proporciona el dato: depende de la capacidad que ésta tenga para reducir la ambigüedad en una toma de decisiones.
  • Las veces en que el dato es usado por personas que toman decisiones: Si el dato es compartido, su falta de integridad afectará a todos los usuarios, por lo que en un entorno compartido es vital mantener esta integridad.

Objetivos de efectividad del sistema.

Para ver si un SPD (Sistema de Proceso de Datos) es efectivo hay que conocer las características del usuario y el tipo de decisiones que se van a tomar.

Para saber si el sistema está trabajando correctamente, y para poder medir su efectividad, es necesario esperar a que el sistema lleve funcionando un cierto tiempo, tras el cual, normalmente la gerencia solicita una auditoría para saber si el sistema alcanza los objetivos que se había planteado.

Objetivos de eficiencia del sistema

Un SPD eficiente es el que utiliza el mínimo de recursos para alcanzar sus objetivos. En cualquier sistema los recursos son escasos y hay que compartirlos, por lo que saber si se están utilizando los recursos de forma eficiente no siempre es fácil.



La eficiencia se vuelve crítica cuando el ordenador comienza a estar escaso de recursos por lo que, si además los recursos son caros, hay que saber si se agotaron porque las aplicaciones son ineficientes, porque existen cuellos de botella, o simplemente porque el crecimiento natural de las aplicaciones ha reducido dichos recursos.
Publicado por en No hay comentarios:

viernes, 10 de abril de 2015

Políticas de Seguridad.

Una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.


Ahora, "una Política de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema."


La RFC 1244 define Política de Seguridad como: "una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán."

La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, una política de seguridad es una forma de comunicarse con los usuarios... Siempre hay que tener en cuenta que la seguridad comienza y termina con personas" y debe:


  • Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.
  • Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz.
  • Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
  • Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.
Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad.

No debe tratarse de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el porqué de ello.

Desarrollo de Políticas de Seguridad.
  • Recopilar material de apoyo.
Para elaborar eficazmente un conjunto de políticas de seguridad informática, debe haberse efectuado previamente un análisis de riesgo que indique claramente las necesidades de seguridad actuales de la organización. Antecedentes de fallas en la seguridad, fraudes, demandas judiciales y otros casos pueden proporcionar una orientación sobre las áreas que necesitan particular atención.
Para afinar aún más el proceso, se debe tener copia de todas las otras políticas de organización (o de otras organizaciones similares) relativas a compra de equipos informáticos, recursos humanos y seguridad física.
  • Definir un marco de referencia
Después de recopilar el material de apoyo, debe elaborarse una lista de todos los tópicos a ser cubiertos dentro de un conjunto de políticas de seguridad. La lista debe incluir políticas que se piensa aplicar de inmediato así como aquellas que se piensa aplicar en el futuro.

  • Redactar la documentación
Después de preparar una lista de las áreas que necesitan la atención y después de estar familiarizados con la manera en que la organización expresa y usa las políticas, se estará ahora listos redactar las políticas, para lo cual pueden servir de ayuda el ejemplo que se encuentra más adelante.

Las políticas van dirigidas a audiencias significativamente distintas, en cuyo caso es aconsejable redactar documentos diferentes de acuerdo al tipo de audiencia. Por ejemplo, los empleados podrían recibir un pequeño folleto que contiene las políticas de seguridad más importantes que ellos necesitan tener presente. En cambio, el personal que trabaja en informática y en telecomunicaciones podría recibir un documento considerablemente más largo que proporciona mucho más detalles.



Publicado por en No hay comentarios:

miércoles, 8 de abril de 2015

Técnica y Reglas de Seguridad Actuales

Firma Digital

La Firma Electrónica es única, es un archivo seguro y cifrado que incluye tu firma caligráfica. 
La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado función hash, a su contenido y, seguidamente, aplicar el algoritmo de firma al resultado de la operación anterior, generando la firma electrónica o digital. 
Por sus características, es segura y garantiza tu identidad.
Verisign

Es una empresa estadounidense con sede en Reston (Virginia), Estados Unidos.

VeriSign fue fundada en 1995 como una división de la empresa RSA, dedicada a la provisión de servicios de certificación de seguridad.

La compañía opera una gran variedad de infraestructuras de red que incluye dos de los trece servidores de nombre raíz de Internet, además del registro autoritativo para los dominios de nivel superior genéricos .com, .net y .name.


Es conocida principalmente por emitir certificados de seguridad para su uso en Internet o en aplicaciones informáticas seguras, utilizando protocolos como SSL (Secure Sockets Layer, o Capa de Conexión Segura) y TLS o Seguridad de Capa de Transporte, que codifican la información que se envía a través de redes de todo tipo.


Análisis de Riesgos

Un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos.

Probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Los medios para conseguirlo son:
  • Restringir el acceso a los programas y archivos.
  • Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan.
  • Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.
  • Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.
  • Que existan y pasos de emergencia alternativos de transmisión entre diferentes puntos.
  • Organizar a los empleados por jerarquía informática (con claves distintas y permisos bien establecidos).
  • Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.


DRP

Un plan de recuperación ante desastres (del inglés Disaster Recovery Plan) es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos.

Se cree que algunas empresas gastan hasta el 25 % de su presupuesto en proyectos de recuperación de desastre, sin embargo, esto lo hacen para evitar pérdidas más grandes.

 Existen diferentes riesgos que pueden impactar negativamente en las operaciones normales de una organización las cueles son:
  • Catástrofes.
  • Fuego.
  • Fallas de energía.
  • Interrupciones organizadas o deliberadas.
  • Sistema y/o fallas de equipo.
  • Error humano.                                     
  • Virus informáticos.
  • Cuestiones legales.
  • Huelgas de empleados.
  • Despidos de empleados.
  • Deterioro, extravío o rotura de cintas de backup.
  • Cortes de comunicación.

Monitorización.

Los objetivos de una infraestructura de monitorización de sistemas informáticos son principalmente la prevención de incidencias y conocer el aprovechamiento de los recursos TIC disponibles.

Implementar un buen sistema de monitorización no es una tarea tan difícil como exigente en su ejecución.

Los sistemas clásicos controlan únicamente el hardware principal. Por ello, fallos en los sistemas secundarios pueden pasar inadvertidos o no ser detectados hasta que sea demasiado tarde.

Los métodos de monitorización habituales suelen limitarse a controlar que se tiene conectividad (ping) con la maquina monitorizada, o que el servicio principal (ej: servidor web) está funcionando. 


Publicado por en No hay comentarios:

viernes, 27 de marzo de 2015

Estándar BS799. Estándar ISO 17799.

Estándar BS799.

La norma BS7799 es un amplio plan para la implementación efectiva de los niveles y controles para la seguridad de la información. El conjunto de controles requeridos por la norma brinda a los profesionales de tecnología de la información un modelo eficaz para el desarrollo de políticas y procesos de seguridad de la información en todo el ámbito de las organizaciones. Esta presenta los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). De esta forma, ayuda a identificar, administrar y minimizar la variedad de amenazas a las cuales está expuesta regularmente la información en las empresas.


 La certificación BS7799 permite muchas ventajas operativas y estratégicas para las empresas. Una empresa certificada con la norma BS7799 puede marcar un factor diferenciador y estratégico frente a sus competidores no certificados. Si un cliente potencial tiene que escoger entre dos servicios diferentes y la seguridad es un aspecto importante, por lo general optará por la empresa certificada.



Estándar ISO 17799.

En toda organización que haga uso de las tecnologías de información se recomienda implementar buenas prácticas de seguridad, pues en muchas ocasiones el no seguir un proceso de implementación adecuado como el que establece el ISO 17799 puede generar huecos por la misma complejidad de las organizaciones, en ese sentido, aumenta la posibilidad de riesgos en la información.

Este estándar internacional de alto nivel para la administración de la seguridad de la información, fue publicado por la ISO (International Organization for Standardization) en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones.

El ISO 17799, al definirse como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática:

  • Confidencialidad: Asegurar que únicamente personal autorizado tenga acceso a la información.
  • Integridad: Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas.
  • Disponibilida: Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran.
Estos principios en la protección de los activos de información constituyen las normas básicas deseables en cualquier organización, sean instituciones de gobierno, educativas e investigación; no obstante, dependiendo de la naturaleza y metas de las organizaciones, éstas mostrarán especial énfasis en algún dominio o área del estándar ISO 17799.
Publicado por en No hay comentarios:

miércoles, 25 de marzo de 2015

Historia de los Antecedentes de la Seguridad Informática

La seguridad informática es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial.


Concepto de Estándar

Un estándar es un conjunto de reglas que deben cumplir los productos, procedimientos o investigaciones que afirmen ser compatibles con el mismo producto. Los estándares ofrecen muchos beneficios, reduciendo las diferencias entre los productos y generando un ambiente de estabilidad, madurez y calidad en beneficio de consumidores e inversores.
La normalización o estandarización es la redacción y aprobación de normas que se establecen para garantizar el acoplamiento de elementos construidos independientemente, así como garantizar el repuesto en caso de ser necesario, garantizar la calidad de los elementos fabricados, la seguridad de funcionamiento y trabajar con responsabilidad social.


Concepto de Norma.

Las normas son reglas de conductas que nos imponen un determinado modo de obrar o de abstenernos. Las normas pueden ser establecidas desde el propio individuo que se las auto impone, y en este caso son llamadas normas autónomas, como sucede con las éticas o morales. Así, una persona ayuda a un necesitado porque se lo ordena su propia conciencia, y cuyo castigo también es personal, y está dado por el remordimiento.
Las normas sirven para lograr el orden y la paz social. Si las personas fueran éticamente correctas sin posibilidad de transgredir las normas éticas, las demás no serían necesarias. Sin embargo, las diferencias en las concepciones morales de las personas, y aún la violación voluntaria de ellas, percibiendo que su conducta está mal, por hacer daño a la sociedad, motivaron la aparición del resto de las normas.



Concepto de Regla.

Las reglas son normativas o preceptos que deben respetarse. Lo habitual es que las reglas surjan por un acuerdo o convenio y que, una vez instauradas, sean de cumplimiento obligatorio.

Puede entenderse las reglas como indicaciones que señalan la manera en que se debe desarrollar algo. Los juegos y los deportes, en este sentido, tienen reglas que los participantes deben respetar; de lo contrario, serán sancionados por el árbitro o juez. Si un basquetbolista patea el balón, habrá violado una regla de su deporte.



Resumen.

Los Estándares pueden ser conceptualizados como la definición clara de un modelo, criterio, regla de medida o de los requisitos mínimos aceptables para la operación de procesos específicos. Son utilizados como guías para evaluar su funcionamiento y lograr el mejoramiento continuo de los servicios.
Requieren ser establecidos con el fin de contar con una referencia que permita identificar oportunamente las variaciones presentadas en el desarrollo de los procesos y aplicar las medidas correctivas necesarias.

Se elaboran con los siguientes puntos:

  • El personal técnico trabaja en la identificación y revisión de todas las cuestiones asociadas con el tema.
  • Estudio de las exigencias contables de los diferentes países y de la práctica e intercambio de puntos de vista.
  • Identificar los aspectos que deberán de ser estandarizados en los procesos.
  • Consideración de todos los comentarios recibidos, dentro del periodo establecido.
  • Realizar la difusión del estándar entre el personal y de ser necesario capacitarlo para su pleno cumplimiento.
  • Realizar el seguimiento y control de los estándares.





Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)