AUDITORÍA Seguridad de los sistemas Porqué estudiarlo? Para qué hacerlo? Qué hacer? Cómo hacerlo? Introducción y objetivo general del tema Objetivos de los controles y medidas Descripción de medidas y controles a aplicar Descripción de tareas a realizar (metodología) Seguridad de los sistemas (tiempo real) Diferencias relevantes con respecto a otros modos de operación Controles específicos de este tipo de modalidad. Introducción y objetivo general Podemos definir la seguridad como aquella actividad encaminada a dar al procesamiento de datos la protección razonable. Y decimos razonable porque nunca existe certeza absoluta. El tema es fundamental pues hoy en día, el ámbito de sistemas constituye el punto donde se concentra la mayor parte de la información de la empresa. Es evidente que la información utilizada por los entes en general ha variado en la últimas décadas. Del mismo modo lo han hecho las necesidades de generación de esa información y los medios de procesarlas. Aunque se observan ciertas diferencias entre los sistemas computarizados y los convencionales puede afirmarse que el procesamiento electrónico de datos no afecta a los objetivos del control interno, la responsabilidad de la dirección y las limitaciones inherentes al sistema de control interno, pero sí afecta el enfoque para la evaluación del mismo y el tipo de evidencia de auditoría que se obtiene. Los enfoques de auditoría que se utilizan en ambientes en los que una parte significativa de los procesos administrativos son procesados electrónicamente han evolucionado con el tiempo. Se pueden clasificar así: enfoque tradicional o externo consiste en realizar los procedimientos de verificación utilizando los datos de entrada al sistema y someter estos datos al proceso lógico que se realiza en esa etapa específica de procesamiento. Con estos elementos se obtienen datos de salida procesados manualmente; se comparan con los generados por el sistema y se concluye si el procesamiento electrónico llega a resultados razonables (por muestreo). enfoque moderno consiste en realizar los procedimientos de verificación del correcto funcionamiento de los procesos computarizados “utilizando la computadora” se seleccionan técnicas de auditoría que controlan la forma en que la aplicación contable computarizada funciona. Las técnicas son variadas pero todas ellas tienen en común que no consideran el procedimiento como una “caja negra”. Consisten en revisar pasos de programas, la lógica del lenguaje utilizado, re-procesar una serie de operaciones a través del propio sistema computarizado, etc. El auditor pondrá los objetivos del trabajo (evaluación de riesgos), identificará procedimientos de auditoría que se aplicarán y avaluará los resultados de la aplicación de los mismos.El Objetivo es, entonces, la seguridad de esa información, por lo que debemos implementar controles para disminuir o evitar los riesgos. Dichos controles, determinarán el grado de confiabilidad de la información suministrada. Las organizaciones, sobre todo las pequeñas y medianas, carecen de documentación, estándares para la elaboración, como así también de controles internos. No debería diferenciarse la estructura de controles internos a evaluar de acuerdo al tamaño de la empresa. La diferencia radica en la intensidad de algunos controles, en especial los de: Separación de funciones Archivos Seguridad física Debe tenerse siempre presente el principio de economía de procesamiento (el costo de los controles debe ser inferior al beneficio del proceso, y los controles –su magnitud- debe estar relacionada con los riesgos a evaluar). Por último, los avances en tecnología de comunicaciones han ocasionado una nueva fuente de control: las líneas de comunicación. Todos estos aspectos confluyen en un único objetivo: Evaluar el control interno de forma tal de asegurar que la información que se procesa sea toda la que se debe procesar, sea debidamente autorizada, que se atienda a la conservación y mantenimiento de los recursos de sistemas y que exista una perfecta definicion de la separación de responsabilidades por las operaciones ejecutadas Conceptos de auditoría y control interno Definición de Control Interno Está incorporado a la estructura de la organización, esto asegura la continuidad del control (no es esporádico). Es preventivo. Que se controle antes de los procesos hace más probable que las cosas salgan mejor, que mejore notablemente la calidad de lo producido. Básicamente busca la prevención y no la detección posterior. Si los Controles internos son buenos, no hará falta trabajar con toda la información, bastará con una muestra significativa. Una definición acertada sería: “es el conjunto de normas procedimientos existentes en el ente auditado, implementados con el fin de alcanzar los objetivos para los cuales se creo el ente”. Definición de Auditoria La auditoria la definimos como un control destinado a evitar errores por negligencia y/o irregularidades dentro del funcionamiento de los distintos entes u organizaciones. Por ello cuando se habla de auditoria en un sentido general se entiende que implica examinar o revisar determinado objeto o atributo. Todo ente u organización, ya sea con fin de lucro o sin él, posee ciertos controles o parámetros preestablecidos para permitir su habitual funcionamiento. La auditoria controla dichos parámetros, razón por la cual, en forma rudimentaria, se suele decir que la auditoria es el control de los controles o un control de los controles ya existentes en el ente auditado. Pasos de la Auditoria En cuanto a las etapas la Resolución Técnica Nº 7 aprobada por la Federación Argentina de Consejos Profesionales de Ciencias Económicas nos da una pauta de los pasos a seguir al momento de llevar a cabo una auditoria. Básicamente son tres: a. Planificación (Predetermina tareas) b. Ejecución (Aplica procedimientos y los soporta) c. Conclusión (Emite un informe) Concepto y tipos de Pruebas. Al definir las pruebas o procedimientos de auditoria, estamos definiendo los tipos de tareas a efectuar. Existen dos tipos de pruebas. De Cumplimiento Sustantivas Sinónimo De control Interno De validez Objetivo Funcionamiento de los Validar la información y los procedimientos internos del datos. ente. Objeto auditado Gestión del ente Sistema de información. Riesgos Existen tipos y clases de riesgos, es decir, se puede hacer una diferenciación de los errores y omisiones en los cuales se puede incurrir. Riesgo inherente Es el riesgo innato o de origen que posee un dato por el simple hecho de su existencia y estará dado por las características de lo auditado. Se podría decir que todo objeto de auditoria lleva adjunto su riesgo inherente. Riesgo de Control Este riesgo estará dado por la ineficiencia de los procedimientos de control. Riesgo de Detección. El riesgo de detección afecta directamente a la figura del auditor como sujeto ejecutante de la auditoria. Es decir este riesgo se presenta por la propia falta de capacidad del auditor para detectar o percibir un error u omisión. Medidas y controles a aplicar El control interno en el procesamiento electrónico de datos se puede dividir en: A. Controles en la administración del servicio del centro de cómputos B. Controles en el desarrollo de los sistemas C. Controles en los sistemas de información D. Controles en la entrada de datos E. Controles en los archivos y las Bases de datos A. Controles en la administración del servicio del centro de cómputos Dado el ambiente de trabajo en que se desempeña el área de sistemas, y su influencia en todos los sectores de la empresa, se reconoce la necesidad de implantar normas administrativas para un control eficaz. Sin embargo, en la realidad se olvida dictar y hacer cumplir normas de control interno, destacándose debilidades tales como: Inadecuada segregación de funciones Fácil acceso al hardware / software Escasa supervisión de las actividades NORMAS GENERALES A CUMPLIR PARA ASEGURAR UN BUEN FUNCIONAMIENTO ORGANIZACIÓN : El dpto de sistemas debe estar organizado Debe existir segregación de funciones entre sistemas y otros dptos Supervisión competente y completa, revisión de tareas por gerencia Deben existir procedimientos administrativos y de operación Objetividad e independencia de los usuarios SEGURIDAD : Protección de equipo, software, documentación HARDWARE : Mantenimiento del equipo en buen funcionamiento ACCESO : Restringido a personal autorizado (Hard, documentos, archivos) PROCESAMIENTO : Procesamiento rápido y exacto de la información Controles internos en la operación de SI Instrucciones de operación Programas de ejecución (schedule) Lista de mensajes y paradas programadas (acciones ligadas) Procedimientos de recupero y reinicio Tiempos estándar/estimados COMUNICACIONES : Control y supervisión de las operaciones y los dispositivos de comunicación En cada uno de los componentes de un SI deben existir controles internos. Como objetivo principal de todo control interno, lo primordial es tratar de disminuir riesgos. En las comunicaciones de un SI deben establecerse controles en: Hardware: debe haber controles que impidan el fácil acceso físico a las terminales y al equipamiento de la red (instalaciones, modems, hubs, cables, etc.) Software: deben utilizarse protocolos para controlar la calidad de los mensajes y la no presencia de errores en cualquier transmisión de información. Deben controlarse el acceso a las aplicaciones y datos que residan en el/los servidores de la organización Datos: deben utilizarse técnicas de encriptación (procedimiento generalmente público que logra convertir un texto claro en un texto confuso o desordenado sólo descifrable con una clave, un método criptoanalítico o a fuerza bruta). Ej de algoritmos de encriptación: DES, 3DES, RSA, IDEA (se diferencian según la cantidad de bytes de las claves de encriptación y los algoritmos utilizados). POLITICAS : Control externo que asegure el seguimiento de políticas y procedimientos fijados Los controles del departamento de sistemas involucran a más de una aplicación. Existen 3 tipos de riesgo: Estructura organizativa y procedimientos operativos no confiables Riesgo: cambios no autorizados en programas o en archivos de datos. Las medidas de prevención se tornan críticas para asegurar la confiabilidad de la información Medios de Control: separar las principales responsabilidades de las actividades de operación y programación. Diferentes personas deben desempeñar las funciones de: Gerencia del departamento, análisis - diseño y programación de aplicaciones, mantenimiento de software de sistemas, operaciones, control de datos, seguridad de datos. Controles sobre acceso físico y sobre el desarrollo de los programas. Procedimientos no autorizados para cambios en los programas Riesgo: los programadores pueden realizar cambios incorrectos en el software de aplicación. Medios de Control: los posibles controles son: los cambios deben ser iniciados y aprobados por los usuarios, las modificaciones deben ser revisadas y aprobadas por la superioridad. Acceso general no autorizado a los datos o programas de aplicación Riesgo: personas no autorizadas pueden tener acceso directo a los archivos de datos o programas de aplicación utilizados para procesar transacciones permitiéndoles realizar cambios no autorizados a los datos o programas. Medios de Control: los posibles controles son: software de seguridad, registro de operaciones (consola), informes gerenciales especiales. B. Controles en el desarrollo y mantenimiento de los sistemas Es de suma importancia la participación activa del auditor en el ciclo de desarrollo y mantenimiento de los sistemas; no sólo en la verificación del cumplimiento de las etapas previstas, sino también para el asesoramiento respecto de los controles internos a considerar en el nuevo sistema. Esto es muy importante, fundamentalmente por dos razones: 1. No se puede esperar que un sistema quede determinado para luego auditarlo. Los auditores deben aprovechar para introducir controles 2. El auditor puede sugerir y participar en el diseño de controles en los sistemas NORMAS A CONSIDERAR EN LOS DESARROLLOS DE LOS SISTEMAS CONTROL Y EFICIENCIA : Estandarizar técnicas de programación y procedimientos de operación de los sistemas. Efectuar controles en caso de cambios a programas DOCUMENTACIÓN : Documentación adecuada que describa los sistemas y los procedimientos para llevar a cabo su procesamiento GENERALES : Metodología formal de desarrollo Especificaciones de diseño Documentación en la construcción Diseño de archivos y tablas Documentación de pruebas y resultados Diagramaciones PROCESO DE SELECCIÓN PARA LA ADQUISICIÓN DEL SOFTWARE Ante la necesidad de adquirir algún tipo de software se debe cumplir el siguiente procedimiento 1. Realizar tareas previas relacionadas a la definición de requerimientos e invitación a los proveedores 2. Llevar a cabo el proceso de selección teniendo en cuenta las características del proveedor, las características de el/los productos que ofrece, las características del proyecto de trabajo que propone y la composición de los costos ofrecidos 3. Proceder a la evaluación final, realizando de ser posible una matriz comparativa de los diferentes proveedores ponderando cada una de las características relevadas y seleccionando el proveedor que más satisfaga las necesidades planteadas (matriz de objetivos múltiples) C. Controles en los sistemas de información Riesgos de Aplicación Podemos identificar cuatro categorías de los riesgos, y medios de control: Acceso no autorizado al procesamiento y registro de datos Riesgo: se puedan leer, modificar, agregar o eliminar información de los archivos de datos o ingresar sin autorización transacciones para su procesamiento Medios de Control: Acceso sólo otorgado a quienes no desempeñan funciones incompatibles, prohibición de accesos no autorizados. Datos no correctamente ingresados al sistema Riesgo: datos pueden ser imprecisos, incompletos o ser ingresados más de una vez. Medios de Control: controles sobre la precisión e integridad de los datos ingresados para el procesamiento (programas) Otros controles de validación: que cada campo responda al formato definido (numérico, alfabético, alfanumérico) Cantidad de datos. Todos los campos de datos importantes deben estar completos, los datos deben ser compatibles con los datos permanentes, identificación de los nros de documentos o lotes procesados, saldos de transacciones deben balancear Datos rechazados y en suspenso no aclarados Riesgo: perder datos, partidas en suspenso que no se identifican, analizan y/o corrigen en forma oportuna. Las alternativas pueden ser: Transacciones aceptadas por el sistema y señaladas en un informe de excepción, Transacciones destinadas a una cuenta “en suspenso” del sistema en lugar de ser procesadas, Transacciones completamente rechazadas. El Riesgo es que estas transacciones no sean adecuadamente resueltas y procesadas. Medios de Control: controles sobre transacciones rechazadas y partidas en suspenso. Se deberá crear un registro que los incluya para que su posterior corrección y procesamiento pueda ser controlado. Procesamiento y registración de transacciones incompletos y/o inoportunos Riesgo: las transacciones ingresadas o generadas pueden perderse o ser procesadas o registradas en forma incompleta o inexacta o en el período contable incorrecto. El riesgo está dado por incorrecta actualización de los registros. Medios de Control: En los procesamientos por lote: Totales de Control; en otros procesamientos: controles de balanceo programados, de transmisión de datos, de re-enganche y recuperación, de corte programados, sobre los datos generados por el sistema. D. Controles en los archivos y las Bases de datos Los principales riesgos son: a) las destrucciones b) los accesos no autorizados c) la revelación a terceros a) Implica el riesgo de destrucción tanto del soporte como del contenido de los mismos. Deben implementarse controles que se conocen en su conjunto como seguridad física. Deben existir políticas de resguardo y recupero de información (BACK-UPS que deben planificarse. Lo óptimo sería un back-up total de forma diaria pero no es económicamente viable. Los soportes utilizados deben ser inventariados y etiquetados de forma clara y deben ser adecuadamente custodiados. Para saber si los backups funcionan, periódicamente deben realizarse pruebas de recupero de información b) Estos riesgos se atacan con controles relacionados con la seguridad lógica. Es necesario contar con controles de acceso y perfiles de usuario. El control de acceso implica la identificación y la autenticación del usuario. El perfil de usuario asegura que un usuario sólo pueda realizar las operaciones para las que está autorizado. Para que un usuario se autentique será necesario contar con "algo que uno sabe (ej. password ), algo que uno tiene (ej. tarjeta) o algo que uno es (técnicas biométricas)” c) debe aplicarse la criptografía (aunque la información pueda ser visualizada no será entendible) También se debe tener en cuenta el control de concurrencia (acceso simultáneo a los datos) y el control de transacciones (asegurando que una transacción pueda completarse totalmente o volverse hacia atrás luego de producido un fallo) E. Controles en la entrada de datos “En cualquier sistema de información “si entra basura sale basura””. El costo de detectar y corregir los errores una vez que ingresaron al SI es mucho mayor que el costo de establecer controles internos adecuados para prevenir esos errores. La información debe cumplir con todas sus características fundamentales (exactitud, completitud, pertinencia, legitimidad, confidencialidad, oportunidad, no duplicación, etc.) La captura de los datos puede dividirse en tres momentos: la captura en sí, la validación de los mismos y el almacenamiento. Los problemas pueden presentarse en cualquiera de estos tres momentos. En la entrada de datos se tiende a la introducción de tecnología para reducir errores. En la validación de los datos será fundamental la exactitud en las reglas de programación (rangos, tipos de datos, contadores, sumadores, dígito verificador). Si bien se trata de automatizar la captura, debe existir un medio alternativo ante cualquier contingencia. Descripción de Tareas a Realizar (Metodología) Son los aspectos a ser tenidos en cuenta por el auditor, desde los siguientes puntos de vista: Ambiente de sistema Recabar información sobre el grado de utilización del procesamiento electrónico de datos en aquellas aplicaciones financieras significativas. Principales temas a considerar para adquirir conocimientos sobre el ambiente, son los siguientes: Conocimiento de la estructura organizativa de los sistemas Conocimiento de la naturaleza de la configuración de sistemas Alcance del procesamiento computarizado de la información Ambiente de Control Conjunto de condiciones dentro de las cuales operan los sistemas de control. Está referido al enfoque que tiene la gerencia superior y el directorio con respecto al objetivo de control y el marco en que ejerce ese control. Los aspectos a considerar para evaluar la efectividad del ambiente de control son: El enfoque de control por parte del directorio y la gerencia superior La organización gerencial: posición del gerente de sistemas El gerente de sistemas tiene como función crear y mantener un adecuado ambiente de control. Hecha la planificación estratégica, se documentan las decisiones preliminares para cada uno de los componentes con un enfoque tentativo de auditoría Planificación detallada Es la selección de los procedimientos de auditoría, que comunmente se traducen en la preparación de los programas de trabajo. El auditor se concentra en obtener y documentar una comprensión sobre los controles directos y generales para los componentes significativos de los estados financieros- Seguridad de sistemas con procesamiento en tiempo real Los controles vistos anteriormente, deben aplicarse también en procesos en tiempo real, pero además deben agregarse otros que son propios de este tipo de procesamiento. Problemas que pueden presentarse en procesamiento en tiempo real En cuanto al proceso En cuanto al manejo administrativo En cuanto al uso Se puede encarecer una aplicación, por no precisar ésta necesariamente de actualización en tiempo real (Sueldos) Es más difícil detectar errores, ya que la actualización modifica el archivo en el momento Desarrollo e implantación son más costosos Es más difícil implementar control interno, pues se minimiza la documentación del procesamiento, entrada Relación directa entre el usuario y el equipo Medidas de seguridad que demanda el proceso en tiempo real Técnicas de control físico Dispositivos de protección para terminales (cerraduras, lectoras) Ubicación de terminales en áreas supervisadas Desconexión de terminales en determinado horario Acceso a archivos en determinado horario Desconexión automática de terminales no usadas Técnicas de control lógico Contraseñas para el acceso No-display de contraseñas Establecer parámetros de niveles de autorización Desconexión automática de terminales ante “X” intentos infructuosos de acceso Técnicas de control de Transmisiones cifradas o codificadas telecomunicaciones Usar detectores de intercepción de información Distribución y control de número telefónico para estaciones de llamada Control y validación de la Instrucciones escritas para guiar a operadores entrada Validación de la entrada (pruebas programadas) El operador debe revisar los datos ingresados Se concilian totales de control (manuales vs computador) Marcas de tiempo y fecha de entrada de la transacción Mantenimient Quien ejecuta o aprueba el mantenimiento no rinde cuenta de los hechos o Controlar el acceso para mantenimiento Controles de Informe del “era y es” sobre los archivos maestros archivo Integridad Informe de “era y es” revisado por personal apropiado Balanceo de conteo de registros y totales de control Control del balanceo de las Controles de transacciones Procesamiento Aptitud de procesamient o Pruebas de resultado de Controles de la procesos Salida Prueba de salida conteo de registros, totales de control informe de datos que no balancean esos errores deben corregirse antes de reprocesar familiarización del operador con los procedimientos del sistema familiarización del operador con los procedimientos alternativos registro de fecha y hora en las transacciones comprobaciones de razonabilidad de resultados(por programa) utilizar informes de gerencia para detectar errores importantes identificar e informar desbordamientos de capacidad informes diseñados para evitar errores de interpretación VERIFICACIÓN Ya definidos cuáles deben ser los controles que una organización debe aplicar en cada uno de los componentes de sus SI, debemos analizar los diferentes circuitos que existan para comprobar que esos controles sean cumplidos. Se pasa entonces a las etapas de verificación en las cuales se debe obtener evidencia comprobatoria, válida y suficiente de que los controles funcionan adecuadamente. Son las denominadas pruebas de cumplimiento, que determinarán la naturaleza, el alcance y oportunidad de los procedimientos de auditoría a aplicar en la información almacenada en el sistema de información. Debe comprobarse la existencia de una estructura organizativa adecuada, mediante inspección de manuales, perfiles de usuario, entrevistas, etc. Debe comprobarse la existencia escrita y correcta actualización de normas y procedimientos de programación y tecnología. Debe verificarse la continuidad del procesamiento (planes de contingencia, políticas de back-up, etc) Deben verificarse los controles del teleprocesamiento (funciones del administrador de red, criptografía) Los controles en las aplicaciones pueden verificarse a través de medidas de documentación, niveles medios de fallas, calidad de diseño, cantidad de usuarios, complejidad, cantidad de transacciones, modalidades del procesamiento, estabilidad, escalabilidad, etc (para reflejar estas medidas puede usarse una matriz de riesgo con sus respectivas ponderaciones). Para llevar a cabo las pruebas de cumplimiento de un sistema puede o no utilizarse una computadora. Las pruebas de cumplimiento con el uso de una computadora pueden clasificarse en: POSTOPERACIÓN (si se verifican los controles luego del procesamiento) 1) Puede usarse el sistema real con transacciones reales: se comparan resultados predeterminados con resultados reales 2) Puede usarse el sistema real con transacciones simuladas: en este caso se comparan resultados predeterminados con resultados simulados. La técnica se denomina lote de prueba. Se podrá utilizar el mismo lote para probar todas las funcionalidades del sistema pero el mismo tendrá que estar actualizado y debe ser pensado de tal forma que represente todas las condiciones de posible ocurrencia 3) Puede usarse un sistema simulado construyendo un sistema paralelo al real con las funcionalidades que se desean probar. La técnica se denomina simulación en paralelo y se comparan resultados de transacciones reales en el sistema real con resultados de transacciones reales en el sistema simulado. Este método permite saber si la información resultante del sistema real fue modificada “por el costado” del sistema pero tiene como desventaja que sólo se pueden realizar pruebas parciales y que requiere la suficiente pericia técnica para construir el sistema simulado. EN LA OPERACIÓN (pruebas concurrentes) En el sistema real se ingresan transacciones reales y transacciones simuladas. La técnica se denomina ITF (integrated test facilities o minicompañía). Se generan registros especiales de auditoría dentro de los registros principales del procesamiento (debiendo estar debidamente identificados). La técnica sólo es aplicable en organizaciones que cuentan con organismos de superintendencia que lo permiten, de otro modo podría ser considerada como fraude). Requiere baja pericia técnica y le aporta al auditor el factor sorpresa pero puede tener inconvenientes en su implementación o en su control si las transacciones simuladas no son debidamente identificadas PRUEBAS SUSTANTIVAS Una vez realizadas las pruebas de cumplimiento se debe analizar la información almacenada en el SI. Si la misma se encuentra en soportes informáticos puede ser analizada en su totalidad (el alcance será total) puesto que ello puede hacerse rápidamente. La información que no es encuentre almacenada digitalmente puede ser muestreada según el diagnóstico hecho sobre los controles generales y los controles particulares. Se pueden encontrar las siguientes herramientas para la realización de pruebas sustantivas: Programa o sistema especial de auditoría Paquete o software de auditoría Aplicativos en general (ej planillas de cálculo) Lenguajes de consulta SEGURIDAD FÍSICA Y LÓGICA La seguridad física y la seguridad lógica se relacionan con medidas preventivas de impactos en la organización. La información debe ser clasificada de acuerdo a sus principales características y se debe plantear el impacto de distintos acontecimientos (en lo posible de forma cuantitativa). Adicionalmente se debe plantear la probabilidad de ocurrencia de cada hecho fortuito a los efectos de tratar de minimizar todos los riesgos. Seguridad física – RIESGOS Propios de la zona geográfica: incendios, inundaciones, tormentas, epidemias, terremotos Propios de la vecindad: pueden ser permanentes (por ej. que la organización se encuentre lindando a una estación de servicio) o transitorios (por ej. que existan obras en la cercanía de la organización) Propios del ente: son los riesgos del edificio, como los materiales con los que está construido, la disposición física del equipamiento eléctrico, la insonorización, etc. Controles: construcciones adecuadas, desagües aptos, bombas de desagote, sensores de línea, generadores propios, instalaciones antiincendios, UPS, grupos electrógenos, utilización de cable canal, cableado eléctrico adecuado, realización de back-ups, separación física de copias de seguridad y equipos de contingencia, identificación del personal afectado y no afectado al área de sistemas, etc. Seguridad lógica Los datos pueden sufrir consultas y modificaciones no autorizadas, además de destrucciones. Por ello se deben implementar medidas de seguridad lógica que hacen a la: Identificación: de la persona que quiere acceder a esos datos Autenticación: de esa persona. Se debe certificar que quien se identifica es quien dice ser (“algo que uno sabe, algo que uno tiene, algo que uno es”). Si se utilizan claves las mismas deben ser únicas, fáciles de memorizar, expirables luego de un lapso determinado y deben aceptar una cantidad mínima de intentos fallidos. Es recomendable contar con un sector que se encargue de la administración de todas las claves. Autorización: se deben limitar las autorizaciones en el uso de los recursos del SI (tanto de los datos como de las funciones que puedan realizarse con esos datos) Documentación: se deben llevar registros de todos los acontecimientos para tareas de vigilancia y seguimiento estadístico. PLAN DE CONTINGENCIA La organización debe estar preparada para la ocurrencia de hechos accidentales, desastres naturales o actos intencionales que pongan en peligro su normal operatoria. Siempre se debe asegurar el COB (continuity of business). Las principales causas de la falta de prevención son: “No nos puede pasar a nosotros” Apatía en los cargos jerárquicos Desconocimiento de cómo preparar un plan Difícil cuantificación de beneficios Se deben analizar todos los riesgos, establecer los recursos críticos, elaborar un proyecto, desarrollar el plan y realizar las pruebas pertinentes Fase de emergencia: si se produce algún hecho grave, se debe establecer el ambiente de reconstrucción y recuperación y minimizar los daños ocurridos (las medidas de prevención serán fundamentales para evitar daños graves). Fase de enlace: se deben brindar alternativas de procesamiento para mantener la capacidad operativa y se deben facilitar las tareas de recuperación del ambiente. Fase de back-up: es necesario continuar operando con el procesamiento alternativo proveyendo los sets de copias de resguardo necesarios para ello. Fase de recupero: se debe restaurar totalmente el SI a su normal funcionamiento, discontinuando la operación con el procesamiento alternativo y convirtiendo las operaciones y archivos del modo de enlace al modo normal