miércoles, 15 de abril de 2015

Auditoria Informática

Propósito de auditoría Informática (AI)


La función de AI es garantizar que los sistemas de ordenador:

  • Salvaguardan los “bienes” de la organización
  • Mantienen la integridad de los datos.
  • Alcanzan los objetivos de la empresa de un modo eficaz y efectivo.


Visión General.

Uno de los problemas que han surgido con el uso generalizado de los ordenadores es la  necesidad de mantener la integridad de los datos. A medida que los ordenadores toman mayor control de los datos, la carencia de un control directo sobre los mismos se vuelve cada vez mayor y esto proporciona una inquietud creciente en las empresas.
Debido a esto tenemos que considerar:


  • Implicación: Estamos en manos de la Informática. Por ejemplo, ningún banco, sin importar su tamaño, sería capaz de realizar su trabajo sin ayuda de la informática.
  • Cuestión: ¿Quién garantiza que los procesos informáticos son correctos? ¿Quién garantiza a un usuario que la liquidación periódica de su cuenta corriente es correcta, por ejemplo?

Necesidad de Control y AI.

Estando en un medio informático en el que el ordenador realiza de forma automática las tareas tendremos que controlar si lo que hace es lo que realmente queremos que haga.

Los ordenadores juegan un papel muy importante al ayudarnos en el proceso de datos, por lo que hay que controlar su uso, ya que en el procesamiento de datos es uno de los puntos donde se puede producir el fraude con mayor facilidad.


Coste de la pérdida de datos en las organizaciones.

En la actualidad, los datos son recursos críticos para la continuidad de las funciones de cualquier empresa, y su importancia dependerá de lo vital que sea para la organización.

 Para poder proteger estos recursos será necesario establecer una política a nivel organización, de copias de seguridad y recuperación. Por su importancia, se estudiarán estos temas con más profundidad más adelante.


Toma de decisiones incorrecta.

Los datos nos van a permitir entre otras cosas realizar tomas de decisión. Pero para que las decisiones tomadas a partir de los datos sean correctas, tendremos que garantizar que los datos que nos son suministrados son asimismo correctos.


Abuso Informático o Abuso del Ordenador.


Se podría pensar que el abuso informático constituye la causa principal de la necesidad de AI. Errores y omisiones que originan pérdidas frecuentemente, son el motivo de toma de decisiones erróneas. Esto nos obliga a plantear soluciones para estas dos causas en primer lugar, antes incluso que al abuso informático.

No podemos dejar de establecer controles para evitar el abuso informático, dado que los costes derivados de éste suelen ser muy superiores a los producidos por el abuso “manual”, o a los derivados de las dos causas anteriormente citadas.

Privacidad de los datos.

Desde la llegada de los ordenadores la difusión incontrolada de estos datos se ha convertido en un serio problema, principalmente debido a que crear, actualizar y difundir una base de datos con datos personales de posibles clientes es mucho más fácil ahora que cuando los sistemas eran manuales.

La privacidad de los datos es un derecho la Ley de Protección de Datos de Carácter Personal asegura la confidencialidad de los datos y protege a los propietarios de los mismos del uso ilegítimo de ellos por terceras personas.



Evolución controlada del uso del ordenador.

La tecnología en general es neutral: es decir, no es buena ni es mala. Lo que realmente puede ocasionar problemas es su uso incorrecto. Para garantizar que esto no ocurra, hay que tomar decisiones importantes sobre cómo se deben usar los ordenadores en la sociedad. 

La función del gobierno, de las sociedades profesionales y de los distintos grupos de presión el evaluar el uso “racional” de la tecnología.


Definición de AI: Estudio pormenorizado

El proceso de recoger evidencias para determinar si un sistema informático salvaguarda los bienes, mantiene la integridad de los datos, alcanza los objetivos de la empresa de un modo efectivo y consume recursos con eficacia.

Existen 2 tipos de auditorías las cuales son:

Auditoria Externa: Se encarga de centrar en los objetivos de seguridad (Salvaguarda bienes e integridad de datos)

Auditoria Interna: Se centra en los objetivos de gestión, garantizar que las tareas se realicen en grados adecuadas de efectividad y eficacia.


Objetivos de salvaguarda de bienes.

Se consideran como “bienes” al hardware, software, personas, datos (ficheros, bases de datos, etc.), documentación, suministros, etc. Además de estos bienes se concentran todos en un mismo sitio, ámbito físico del CPD, por lo que deben de ser especialmente protegidos por un sistema de control interno, y su producción debe ser un objetivo importante.

Objetivos de integridad de datos.

Uno de los aspectos que debemos cuidar especialmente es la integridad de los datos, pero realizar esta tarea nos va a suponer un coste frente a los beneficios esperados al implantar unas medias de seguridad.

Para determinar los costes y beneficios existen 2 factores que afectan al valor de un de un dato para la empresa:


  • Valor de la información que proporciona el dato: depende de la capacidad que ésta tenga para reducir la ambigüedad en una toma de decisiones.
  • Las veces en que el dato es usado por personas que toman decisiones: Si el dato es compartido, su falta de integridad afectará a todos los usuarios, por lo que en un entorno compartido es vital mantener esta integridad.

Objetivos de efectividad del sistema.

Para ver si un SPD (Sistema de Proceso de Datos) es efectivo hay que conocer las características del usuario y el tipo de decisiones que se van a tomar.

Para saber si el sistema está trabajando correctamente, y para poder medir su efectividad, es necesario esperar a que el sistema lleve funcionando un cierto tiempo, tras el cual, normalmente la gerencia solicita una auditoría para saber si el sistema alcanza los objetivos que se había planteado.

Objetivos de eficiencia del sistema

Un SPD eficiente es el que utiliza el mínimo de recursos para alcanzar sus objetivos. En cualquier sistema los recursos son escasos y hay que compartirlos, por lo que saber si se están utilizando los recursos de forma eficiente no siempre es fácil.



La eficiencia se vuelve crítica cuando el ordenador comienza a estar escaso de recursos por lo que, si además los recursos son caros, hay que saber si se agotaron porque las aplicaciones son ineficientes, porque existen cuellos de botella, o simplemente porque el crecimiento natural de las aplicaciones ha reducido dichos recursos.
Publicado por en No hay comentarios:

viernes, 10 de abril de 2015

Políticas de Seguridad.

Una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.


Ahora, "una Política de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema."


La RFC 1244 define Política de Seguridad como: "una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán."

La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, una política de seguridad es una forma de comunicarse con los usuarios... Siempre hay que tener en cuenta que la seguridad comienza y termina con personas" y debe:


  • Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.
  • Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz.
  • Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
  • Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.
Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad.

No debe tratarse de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el porqué de ello.

Desarrollo de Políticas de Seguridad.
  • Recopilar material de apoyo.
Para elaborar eficazmente un conjunto de políticas de seguridad informática, debe haberse efectuado previamente un análisis de riesgo que indique claramente las necesidades de seguridad actuales de la organización. Antecedentes de fallas en la seguridad, fraudes, demandas judiciales y otros casos pueden proporcionar una orientación sobre las áreas que necesitan particular atención.
Para afinar aún más el proceso, se debe tener copia de todas las otras políticas de organización (o de otras organizaciones similares) relativas a compra de equipos informáticos, recursos humanos y seguridad física.
  • Definir un marco de referencia
Después de recopilar el material de apoyo, debe elaborarse una lista de todos los tópicos a ser cubiertos dentro de un conjunto de políticas de seguridad. La lista debe incluir políticas que se piensa aplicar de inmediato así como aquellas que se piensa aplicar en el futuro.

  • Redactar la documentación
Después de preparar una lista de las áreas que necesitan la atención y después de estar familiarizados con la manera en que la organización expresa y usa las políticas, se estará ahora listos redactar las políticas, para lo cual pueden servir de ayuda el ejemplo que se encuentra más adelante.

Las políticas van dirigidas a audiencias significativamente distintas, en cuyo caso es aconsejable redactar documentos diferentes de acuerdo al tipo de audiencia. Por ejemplo, los empleados podrían recibir un pequeño folleto que contiene las políticas de seguridad más importantes que ellos necesitan tener presente. En cambio, el personal que trabaja en informática y en telecomunicaciones podría recibir un documento considerablemente más largo que proporciona mucho más detalles.



Publicado por en No hay comentarios:

miércoles, 8 de abril de 2015

Técnica y Reglas de Seguridad Actuales

Firma Digital

La Firma Electrónica es única, es un archivo seguro y cifrado que incluye tu firma caligráfica. 
La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado función hash, a su contenido y, seguidamente, aplicar el algoritmo de firma al resultado de la operación anterior, generando la firma electrónica o digital. 
Por sus características, es segura y garantiza tu identidad.
Verisign

Es una empresa estadounidense con sede en Reston (Virginia), Estados Unidos.

VeriSign fue fundada en 1995 como una división de la empresa RSA, dedicada a la provisión de servicios de certificación de seguridad.

La compañía opera una gran variedad de infraestructuras de red que incluye dos de los trece servidores de nombre raíz de Internet, además del registro autoritativo para los dominios de nivel superior genéricos .com, .net y .name.


Es conocida principalmente por emitir certificados de seguridad para su uso en Internet o en aplicaciones informáticas seguras, utilizando protocolos como SSL (Secure Sockets Layer, o Capa de Conexión Segura) y TLS o Seguridad de Capa de Transporte, que codifican la información que se envía a través de redes de todo tipo.


Análisis de Riesgos

Un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos.

Probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Los medios para conseguirlo son:
  • Restringir el acceso a los programas y archivos.
  • Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan.
  • Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.
  • Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.
  • Que existan y pasos de emergencia alternativos de transmisión entre diferentes puntos.
  • Organizar a los empleados por jerarquía informática (con claves distintas y permisos bien establecidos).
  • Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.


DRP

Un plan de recuperación ante desastres (del inglés Disaster Recovery Plan) es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos.

Se cree que algunas empresas gastan hasta el 25 % de su presupuesto en proyectos de recuperación de desastre, sin embargo, esto lo hacen para evitar pérdidas más grandes.

 Existen diferentes riesgos que pueden impactar negativamente en las operaciones normales de una organización las cueles son:
  • Catástrofes.
  • Fuego.
  • Fallas de energía.
  • Interrupciones organizadas o deliberadas.
  • Sistema y/o fallas de equipo.
  • Error humano.                                     
  • Virus informáticos.
  • Cuestiones legales.
  • Huelgas de empleados.
  • Despidos de empleados.
  • Deterioro, extravío o rotura de cintas de backup.
  • Cortes de comunicación.

Monitorización.

Los objetivos de una infraestructura de monitorización de sistemas informáticos son principalmente la prevención de incidencias y conocer el aprovechamiento de los recursos TIC disponibles.

Implementar un buen sistema de monitorización no es una tarea tan difícil como exigente en su ejecución.

Los sistemas clásicos controlan únicamente el hardware principal. Por ello, fallos en los sistemas secundarios pueden pasar inadvertidos o no ser detectados hasta que sea demasiado tarde.

Los métodos de monitorización habituales suelen limitarse a controlar que se tiene conectividad (ping) con la maquina monitorizada, o que el servicio principal (ej: servidor web) está funcionando. 


Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)