AUDITORÍA Seguridad de los sistemas Porqué estudiarlo?

Anuncio
AUDITORÍA
Seguridad de los sistemas
Porqué estudiarlo?
Para qué hacerlo?
Qué hacer?
Cómo hacerlo?
Introducción y objetivo general del tema
Objetivos de los controles y medidas
Descripción de medidas y controles a aplicar
Descripción de tareas a realizar (metodología)
Seguridad de los sistemas (tiempo real)
Diferencias relevantes con respecto a otros modos de operación
Controles específicos de este tipo de modalidad.
Introducción y objetivo general
Podemos definir la seguridad como aquella actividad encaminada a dar al procesamiento de datos la
protección razonable. Y decimos razonable porque nunca existe certeza absoluta. El tema es fundamental pues
hoy en día, el ámbito de sistemas constituye el punto donde se concentra la mayor parte de la información de la
empresa.
Es evidente que la información utilizada por los entes en general ha variado en la últimas décadas. Del mismo
modo lo han hecho las necesidades de generación de esa información y los medios de procesarlas. Aunque se
observan ciertas diferencias entre los sistemas computarizados y los convencionales puede afirmarse que el
procesamiento electrónico de datos no afecta a los objetivos del control interno, la responsabilidad de la dirección
y las limitaciones inherentes al sistema de control interno, pero sí afecta el enfoque para la evaluación del mismo y
el tipo de evidencia de auditoría que se obtiene.
Los enfoques de auditoría que se utilizan en ambientes en los que una parte significativa de los procesos
administrativos son procesados electrónicamente han evolucionado con el tiempo. Se pueden clasificar así:
 enfoque tradicional o externo
consiste en realizar los procedimientos de verificación utilizando los datos de entrada al sistema y someter
estos datos al proceso lógico que se realiza en esa etapa específica de procesamiento. Con estos
elementos se obtienen datos de salida procesados manualmente; se comparan con los generados por el
sistema y se concluye si el procesamiento electrónico llega a resultados razonables (por muestreo).
 enfoque moderno
consiste en realizar los procedimientos de verificación del correcto funcionamiento de los procesos
computarizados “utilizando la computadora”  se seleccionan técnicas de auditoría que controlan la
forma en que la aplicación contable computarizada funciona. Las técnicas son variadas pero todas ellas
tienen en común que no consideran el procedimiento como una “caja negra”. Consisten en revisar pasos
de programas, la lógica del lenguaje utilizado, re-procesar una serie de operaciones a través del propio
sistema computarizado, etc.
El auditor pondrá los objetivos del trabajo (evaluación de riesgos), identificará procedimientos de auditoría que se
aplicarán y avaluará los resultados de la aplicación de los mismos.El Objetivo es, entonces, la seguridad de esa información, por lo que debemos implementar controles para
disminuir o evitar los riesgos. Dichos controles, determinarán el grado de confiabilidad de la información
suministrada.
Las organizaciones, sobre todo las pequeñas y medianas, carecen de documentación, estándares para la
elaboración, como así también de controles internos.
No debería diferenciarse la estructura de controles internos a evaluar de acuerdo al tamaño de la
empresa. La diferencia radica en la intensidad de algunos controles, en especial los de:
 Separación de funciones
 Archivos
 Seguridad física
Debe tenerse siempre presente el principio de economía de procesamiento (el costo de los controles debe
ser inferior al beneficio del proceso, y los controles –su magnitud- debe estar relacionada con los riesgos a
evaluar).
Por último, los avances en tecnología de comunicaciones han ocasionado una nueva fuente de control: las
líneas de comunicación.
Todos estos aspectos confluyen en un único objetivo:
Evaluar el control interno de forma tal de asegurar que la información que se procesa sea toda la que se debe
procesar, sea debidamente autorizada, que se atienda a la conservación y mantenimiento de los recursos de
sistemas y que exista una perfecta definicion de la separación de responsabilidades por las operaciones
ejecutadas
Conceptos de auditoría y control interno
Definición de Control Interno
Está incorporado a la estructura de la organización, esto asegura la continuidad del control (no es
esporádico). Es preventivo. Que se controle antes de los procesos hace más probable que las cosas salgan mejor,
que mejore notablemente la calidad de lo producido. Básicamente busca la prevención y no la detección posterior.
Si los Controles internos son buenos, no hará falta trabajar con toda la información, bastará con una muestra
significativa.
Una definición acertada sería: “es el conjunto de normas procedimientos existentes en el ente auditado,
implementados con el fin de alcanzar los objetivos para los cuales se creo el ente”.
Definición de Auditoria
La auditoria la definimos como un control destinado a evitar errores por negligencia y/o irregularidades
dentro del funcionamiento de los distintos entes u organizaciones. Por ello cuando se habla de auditoria en un
sentido general se entiende que implica examinar o revisar determinado objeto o atributo. Todo ente u
organización, ya sea con fin de lucro o sin él, posee ciertos controles o parámetros preestablecidos para permitir
su habitual funcionamiento. La auditoria controla dichos parámetros, razón por la cual, en forma rudimentaria, se
suele decir que la auditoria es el control de los controles o un control de los controles ya existentes en el ente
auditado.
Pasos de la Auditoria
En cuanto a las etapas la Resolución Técnica Nº 7 aprobada por la Federación Argentina de Consejos
Profesionales de Ciencias Económicas nos da una pauta de los pasos a seguir al momento de llevar a cabo una
auditoria. Básicamente son tres:
a. Planificación (Predetermina tareas)
b. Ejecución (Aplica procedimientos y los soporta)
c. Conclusión (Emite un informe)
Concepto y tipos de Pruebas.
Al definir las pruebas o procedimientos de auditoria, estamos definiendo los tipos de tareas a efectuar.
Existen dos tipos de pruebas.
De Cumplimiento
Sustantivas
Sinónimo
De control Interno
De validez
Objetivo
Funcionamiento
de
los Validar la información y los
procedimientos internos del datos.
ente.
Objeto auditado
Gestión del ente
Sistema de información.
Riesgos
Existen tipos y clases de riesgos, es decir, se puede hacer una diferenciación de los errores y omisiones
en los cuales se puede incurrir.
 Riesgo inherente
Es el riesgo innato o de origen que posee un dato por el simple hecho de su existencia y estará
dado por las características de lo auditado. Se podría decir que todo objeto de auditoria lleva
adjunto su riesgo inherente.
 Riesgo de Control
Este riesgo estará dado por la ineficiencia de los procedimientos de control.
 Riesgo de Detección.
El riesgo de detección afecta directamente a la figura del auditor como sujeto ejecutante de la
auditoria. Es decir este riesgo se presenta por la propia falta de capacidad del auditor para
detectar o percibir un error u omisión.
Medidas y controles a aplicar
El control interno en el procesamiento electrónico de datos se puede dividir en:
A.
Controles en la administración del servicio del centro de cómputos
B.
Controles en el desarrollo de los sistemas
C.
Controles en los sistemas de información
D.
Controles en la entrada de datos
E.
Controles en los archivos y las Bases de datos
A.
Controles en la administración del servicio del centro de cómputos
Dado el ambiente de trabajo en que se desempeña el área de sistemas, y su influencia en todos los sectores de la
empresa, se reconoce la necesidad de implantar normas administrativas para un control eficaz. Sin embargo, en
la realidad se olvida dictar y hacer cumplir normas de control interno, destacándose debilidades tales como:
 Inadecuada segregación de funciones
 Fácil acceso al hardware / software

Escasa supervisión de las actividades
NORMAS GENERALES A CUMPLIR PARA ASEGURAR UN BUEN FUNCIONAMIENTO
ORGANIZACIÓN
:
El dpto de sistemas debe estar organizado
Debe existir segregación de funciones entre sistemas y otros dptos
Supervisión competente y completa, revisión de tareas por gerencia
Deben existir procedimientos administrativos y de operación
Objetividad e independencia de los usuarios
SEGURIDAD
:
Protección de equipo, software, documentación
HARDWARE
:
Mantenimiento del equipo en buen funcionamiento
ACCESO
:
Restringido a personal autorizado (Hard, documentos, archivos)
PROCESAMIENTO
:
Procesamiento rápido y exacto de la información
Controles internos en la operación de SI
Instrucciones de operación
Programas de ejecución (schedule)
Lista de mensajes y paradas programadas (acciones ligadas)
Procedimientos de recupero y reinicio
Tiempos estándar/estimados
COMUNICACIONES :
Control y supervisión de las operaciones y los dispositivos de comunicación
En cada uno de los componentes de un SI deben existir controles internos. Como
objetivo principal de todo control interno, lo primordial es tratar de disminuir
riesgos. En las comunicaciones de un SI deben establecerse controles en:
 Hardware: debe haber controles que impidan el fácil acceso físico a las
terminales y al equipamiento de la red (instalaciones, modems, hubs, cables,
etc.)
 Software: deben utilizarse protocolos para controlar la calidad de los
mensajes y la no presencia de errores en cualquier transmisión de
información. Deben controlarse el acceso a las aplicaciones y datos que
residan en el/los servidores de la organización
 Datos: deben utilizarse técnicas de encriptación (procedimiento generalmente
público que logra convertir un texto claro en un texto confuso o desordenado
sólo descifrable con una clave, un método criptoanalítico o a fuerza bruta). Ej
de algoritmos de encriptación: DES, 3DES, RSA, IDEA (se diferencian según
la cantidad de bytes de las claves de encriptación y los algoritmos utilizados).
POLITICAS
:
Control externo que asegure el seguimiento de políticas y procedimientos
fijados
Los controles del departamento de sistemas involucran a más de una aplicación. Existen 3 tipos de riesgo:
 Estructura organizativa y procedimientos operativos no confiables
Riesgo: cambios no autorizados en programas o en archivos de datos. Las medidas de prevención se
tornan críticas para asegurar la confiabilidad de la información
Medios de Control: separar las principales responsabilidades de las actividades de operación y
programación. Diferentes personas deben desempeñar las funciones de: Gerencia del departamento,
análisis - diseño y programación de aplicaciones, mantenimiento de software de sistemas,
operaciones, control de datos, seguridad de datos. Controles sobre acceso físico y sobre el desarrollo
de los programas.
 Procedimientos no autorizados para cambios en los programas
Riesgo: los programadores pueden realizar cambios incorrectos en el software de aplicación.
Medios de Control: los posibles controles son: los cambios deben ser iniciados y aprobados por los
usuarios, las modificaciones deben ser revisadas y aprobadas por la superioridad.
 Acceso general no autorizado a los datos o programas de aplicación
Riesgo: personas no autorizadas pueden tener acceso directo a los archivos de datos o programas de
aplicación utilizados para procesar transacciones permitiéndoles realizar cambios no autorizados a los
datos o programas.
Medios de Control: los posibles controles son: software de seguridad, registro de operaciones
(consola), informes gerenciales especiales.
B.
Controles en el desarrollo y mantenimiento de los sistemas
Es de suma importancia la participación activa del auditor en el ciclo de desarrollo y mantenimiento de los
sistemas; no sólo en la verificación del cumplimiento de las etapas previstas, sino también para el asesoramiento
respecto de los controles internos a considerar en el nuevo sistema. Esto es muy importante, fundamentalmente
por dos razones:
1. No se puede esperar que un sistema quede determinado para luego auditarlo. Los auditores deben
aprovechar para introducir controles
2. El auditor puede sugerir y participar en el diseño de controles en los sistemas
NORMAS A CONSIDERAR EN LOS DESARROLLOS DE LOS SISTEMAS
CONTROL Y EFICIENCIA
:
Estandarizar técnicas de programación y procedimientos de
operación de los sistemas.
Efectuar controles en caso de cambios a programas
DOCUMENTACIÓN
:
Documentación adecuada que describa los sistemas y los
procedimientos para llevar a cabo su procesamiento
GENERALES
:
Metodología formal de desarrollo
Especificaciones de diseño
Documentación en la construcción
Diseño de archivos y tablas
Documentación de pruebas y resultados
Diagramaciones
PROCESO DE SELECCIÓN PARA LA ADQUISICIÓN DEL SOFTWARE
Ante la necesidad de adquirir algún tipo de software se debe cumplir el siguiente procedimiento
1. Realizar tareas previas relacionadas a la definición de requerimientos e invitación a los proveedores
2. Llevar a cabo el proceso de selección teniendo en cuenta las características del proveedor, las características
de el/los productos que ofrece, las características del proyecto de trabajo que propone y la composición de los
costos ofrecidos
3. Proceder a la evaluación final, realizando de ser posible una matriz comparativa de los diferentes proveedores
ponderando cada una de las características relevadas y seleccionando el proveedor que más satisfaga las
necesidades planteadas (matriz de objetivos múltiples)
C. Controles en los sistemas de información
Riesgos de Aplicación
Podemos identificar cuatro categorías de los riesgos, y medios de control:
 Acceso no autorizado al procesamiento y registro de datos
Riesgo: se puedan leer, modificar, agregar o eliminar información de los archivos de datos o
ingresar sin autorización transacciones para su procesamiento
Medios de Control: Acceso sólo otorgado a quienes no desempeñan funciones incompatibles,
prohibición de accesos no autorizados.
 Datos no correctamente ingresados al sistema
Riesgo: datos pueden ser imprecisos, incompletos o ser ingresados más de una vez.
Medios de Control: controles sobre la precisión e integridad de los datos ingresados para el
procesamiento (programas) Otros controles de validación: que cada campo responda al formato
definido (numérico, alfabético, alfanumérico) Cantidad de datos. Todos los campos de datos
importantes deben estar completos, los datos deben ser compatibles con los datos permanentes,
identificación de los nros de documentos o lotes procesados, saldos de transacciones deben
balancear
 Datos rechazados y en suspenso no aclarados
Riesgo: perder datos, partidas en suspenso que no se identifican, analizan y/o corrigen en
forma oportuna. Las alternativas pueden ser: Transacciones aceptadas por el sistema y señaladas en
un informe de excepción, Transacciones destinadas a una cuenta “en suspenso” del sistema en lugar
de ser procesadas, Transacciones completamente rechazadas. El Riesgo es que estas transacciones
no sean adecuadamente resueltas y procesadas.
Medios de Control: controles sobre transacciones rechazadas y partidas en suspenso. Se
deberá crear un registro que los incluya para que su posterior corrección y procesamiento pueda ser
controlado.
 Procesamiento y registración de transacciones incompletos y/o inoportunos
Riesgo: las transacciones ingresadas o generadas pueden perderse o ser procesadas o
registradas en forma incompleta o inexacta o en el período contable incorrecto. El riesgo está dado por
incorrecta actualización de los registros.
Medios de Control: En los procesamientos por lote: Totales de Control; en otros
procesamientos: controles de balanceo programados, de transmisión de datos, de re-enganche y
recuperación, de corte programados, sobre los datos generados por el sistema.
D.
Controles en los archivos y las Bases de datos
Los principales riesgos son: a) las destrucciones b) los accesos no autorizados c) la revelación a terceros
a) Implica el riesgo de destrucción tanto del soporte como del contenido de los mismos. Deben implementarse
controles que se conocen en su conjunto como seguridad física.
Deben existir políticas de resguardo y recupero de información (BACK-UPS que deben planificarse. Lo óptimo
sería un back-up total de forma diaria pero no es económicamente viable. Los soportes utilizados deben ser
inventariados y etiquetados de forma clara y deben ser adecuadamente custodiados. Para saber si los backups funcionan, periódicamente deben realizarse pruebas de recupero de información
b) Estos riesgos se atacan con controles relacionados con la seguridad lógica. Es necesario contar con controles
de acceso y perfiles de usuario. El control de acceso implica la identificación y la autenticación del usuario. El
perfil de usuario asegura que un usuario sólo pueda realizar las operaciones para las que está autorizado.
Para que un usuario se autentique será necesario contar con "algo que uno sabe (ej. password ), algo que uno
tiene (ej. tarjeta) o algo que uno es (técnicas biométricas)”
c) debe aplicarse la criptografía (aunque la información pueda ser visualizada no será entendible)
También se debe tener en cuenta el control de concurrencia (acceso simultáneo a los datos) y el control de
transacciones (asegurando que una transacción pueda completarse totalmente o volverse hacia atrás luego de
producido un fallo)
E.
Controles en la entrada de datos
“En cualquier sistema de información “si entra basura sale basura””.
El costo de detectar y corregir los errores una vez que ingresaron al SI es mucho mayor que el costo de
establecer controles internos adecuados para prevenir esos errores. La información debe cumplir con todas sus
características fundamentales (exactitud, completitud, pertinencia, legitimidad, confidencialidad, oportunidad, no
duplicación, etc.)
La captura de los datos puede dividirse en tres momentos: la captura en sí, la validación de los mismos y
el almacenamiento. Los problemas pueden presentarse en cualquiera de estos tres momentos. En la entrada de
datos se tiende a la introducción de tecnología para reducir errores. En la validación de los datos será fundamental
la exactitud en las reglas de programación (rangos, tipos de datos, contadores, sumadores, dígito verificador).
Si bien se trata de automatizar la captura, debe existir un medio alternativo ante cualquier contingencia.
Descripción de Tareas a Realizar (Metodología)
Son los aspectos a ser tenidos en cuenta por el auditor, desde los siguientes puntos de vista:
 Ambiente de sistema
Recabar información sobre el grado de utilización del procesamiento electrónico de datos en
aquellas aplicaciones financieras significativas. Principales temas a considerar para adquirir
conocimientos sobre el ambiente, son los siguientes:
 Conocimiento de la estructura organizativa de los sistemas
 Conocimiento de la naturaleza de la configuración de sistemas
 Alcance del procesamiento computarizado de la información

Ambiente de Control
Conjunto de condiciones dentro de las cuales operan los sistemas de control. Está referido al enfoque
que tiene la gerencia superior y el directorio con respecto al objetivo de control y el marco en que
ejerce ese control. Los aspectos a considerar para evaluar la efectividad del ambiente de control son:
 El enfoque de control por parte del directorio y la gerencia superior
 La organización gerencial: posición del gerente de sistemas
El gerente de sistemas tiene como función crear y mantener un adecuado ambiente de control.
Hecha la planificación estratégica, se documentan las decisiones preliminares para cada uno de los componentes
con un enfoque tentativo de auditoría
Planificación detallada
Es la selección de los procedimientos de auditoría, que comunmente se traducen en la preparación de los
programas de trabajo. El auditor se concentra en obtener y documentar una comprensión sobre los controles
directos y generales para los componentes significativos de los estados financieros-
Seguridad de sistemas con procesamiento en tiempo real
Los controles vistos anteriormente, deben aplicarse también en procesos en tiempo real, pero además deben
agregarse otros que son propios de este tipo de procesamiento.
Problemas que pueden presentarse en procesamiento en tiempo real

En cuanto al proceso

En cuanto al manejo administrativo

En cuanto al uso
Se puede encarecer una aplicación, por no precisar ésta
necesariamente de actualización en tiempo real (Sueldos)
Es más difícil detectar errores, ya que la actualización modifica el
archivo en el momento
Desarrollo e implantación son más costosos
Es más difícil implementar control interno, pues se minimiza la
documentación del procesamiento, entrada
Relación directa entre el usuario y el equipo
Medidas de seguridad que demanda el proceso en tiempo real
Técnicas de control físico
 Dispositivos de protección para terminales (cerraduras, lectoras)
 Ubicación de terminales en áreas supervisadas
 Desconexión de terminales en determinado horario
 Acceso a archivos en determinado horario
 Desconexión automática de terminales no usadas
Técnicas de control lógico
 Contraseñas para el acceso
 No-display de contraseñas
 Establecer parámetros de niveles de autorización
 Desconexión automática de terminales ante “X” intentos infructuosos de
acceso
Técnicas
de
control
de  Transmisiones cifradas o codificadas
telecomunicaciones
 Usar detectores de intercepción de información
 Distribución y control de número telefónico para estaciones de llamada
Control y validación de la  Instrucciones escritas para guiar a operadores
entrada
 Validación de la entrada (pruebas programadas)
 El operador debe revisar los datos ingresados
 Se concilian totales de control (manuales vs computador)
 Marcas de tiempo y fecha de entrada de la transacción
Mantenimient  Quien ejecuta o aprueba el mantenimiento no rinde cuenta de los hechos
o  Controlar el acceso para mantenimiento
Controles de
 Informe del “era y es” sobre los archivos maestros
archivo
Integridad  Informe de “era y es” revisado por personal apropiado
 Balanceo de conteo de registros y totales de control
Control
del balanceo de las
Controles de
transacciones
Procesamiento
Aptitud de
procesamient o
Pruebas
de 
resultado de 
Controles de la procesos

Salida
Prueba
de 
salida
conteo de registros, totales de control
informe de datos que no balancean
esos errores deben corregirse antes de reprocesar
familiarización del operador con los procedimientos del sistema
familiarización del operador con los procedimientos alternativos
registro de fecha y hora en las transacciones
comprobaciones de razonabilidad de resultados(por programa)
utilizar informes de gerencia para detectar errores importantes
identificar e informar desbordamientos de capacidad
informes diseñados para evitar errores de interpretación
VERIFICACIÓN
Ya definidos cuáles deben ser los controles que una organización debe aplicar en cada uno de los
componentes de sus SI, debemos analizar los diferentes circuitos que existan para comprobar que esos controles
sean cumplidos.
Se pasa entonces a las etapas de verificación en las cuales se debe obtener evidencia comprobatoria,
válida y suficiente de que los controles funcionan adecuadamente. Son las denominadas pruebas de
cumplimiento, que determinarán la naturaleza, el alcance y oportunidad de los procedimientos de auditoría a
aplicar en la información almacenada en el sistema de información.




Debe comprobarse la existencia de una estructura organizativa adecuada, mediante inspección de
manuales, perfiles de usuario, entrevistas, etc.
Debe comprobarse la existencia escrita y correcta actualización de normas y procedimientos de
programación y tecnología.
Debe verificarse la continuidad del procesamiento (planes de contingencia, políticas de back-up, etc)
Deben verificarse los controles del teleprocesamiento (funciones del administrador de red, criptografía)
Los controles en las aplicaciones pueden verificarse a través de medidas de
documentación, niveles medios de fallas, calidad de diseño, cantidad de usuarios,
complejidad, cantidad de transacciones, modalidades del procesamiento, estabilidad,
escalabilidad, etc (para reflejar estas medidas puede usarse una matriz de riesgo con sus
respectivas ponderaciones).
Para llevar a cabo las pruebas de cumplimiento de un sistema puede o no utilizarse una computadora. Las
pruebas de cumplimiento con el uso de una computadora pueden clasificarse en:
 POSTOPERACIÓN (si se verifican los controles luego del procesamiento)
1) Puede usarse el sistema real con transacciones reales: se comparan resultados predeterminados con
resultados reales
2) Puede usarse el sistema real con transacciones simuladas: en este caso se comparan resultados
predeterminados con resultados simulados. La técnica se denomina lote de prueba. Se podrá utilizar el
mismo lote para probar todas las funcionalidades del sistema pero el mismo tendrá que estar actualizado y
debe ser pensado de tal forma que represente todas las condiciones de posible ocurrencia
3) Puede usarse un sistema simulado construyendo un sistema paralelo al real con las funcionalidades que se
desean probar. La técnica se denomina simulación en paralelo y se comparan resultados de transacciones
reales en el sistema real con resultados de transacciones reales en el sistema simulado. Este método permite
saber si la información resultante del sistema real fue modificada “por el costado” del sistema pero tiene como
desventaja que sólo se pueden realizar pruebas parciales y que requiere la suficiente pericia técnica para
construir el sistema simulado.
 EN LA OPERACIÓN (pruebas concurrentes)
En el sistema real se ingresan transacciones reales y transacciones simuladas. La técnica se denomina ITF
(integrated test facilities o minicompañía).
Se generan registros especiales de auditoría dentro de los registros principales del procesamiento (debiendo
estar debidamente identificados).
La técnica sólo es aplicable en organizaciones que cuentan con organismos de superintendencia que lo
permiten, de otro modo podría ser considerada como fraude).
Requiere baja pericia técnica y le aporta al auditor el factor sorpresa pero puede tener inconvenientes en su
implementación o en su control si las transacciones simuladas no son debidamente identificadas
PRUEBAS SUSTANTIVAS
Una vez realizadas las pruebas de cumplimiento se debe analizar la información almacenada en el SI. Si la misma
se encuentra en soportes informáticos puede ser analizada en su totalidad (el alcance será total) puesto que ello
puede hacerse rápidamente. La información que no es encuentre almacenada digitalmente puede ser muestreada
según el diagnóstico hecho sobre los controles generales y los controles particulares.
Se pueden encontrar las siguientes herramientas para la realización de pruebas sustantivas:
 Programa o sistema especial de auditoría
 Paquete o software de auditoría
 Aplicativos en general (ej planillas de cálculo)
 Lenguajes de consulta
SEGURIDAD FÍSICA Y LÓGICA
La seguridad física y la seguridad lógica se relacionan con medidas preventivas de impactos en la organización.
La información debe ser clasificada de acuerdo a sus principales características y se debe plantear el impacto de
distintos acontecimientos (en lo posible de forma cuantitativa). Adicionalmente se debe plantear la probabilidad de
ocurrencia de cada hecho fortuito a los efectos de tratar de minimizar todos los riesgos.
Seguridad física – RIESGOS
 Propios de la zona geográfica: incendios, inundaciones, tormentas, epidemias, terremotos
 Propios de la vecindad: pueden ser permanentes (por ej. que la organización se encuentre lindando a una
estación de servicio) o transitorios (por ej. que existan obras en la cercanía de la organización)
 Propios del ente: son los riesgos del edificio, como los materiales con los que está construido, la disposición
física del equipamiento eléctrico, la insonorización, etc.
Controles: construcciones adecuadas, desagües aptos, bombas de desagote, sensores de línea, generadores
propios, instalaciones antiincendios, UPS, grupos electrógenos, utilización de cable canal, cableado eléctrico
adecuado, realización de back-ups, separación física de copias de seguridad y equipos de contingencia,
identificación del personal afectado y no afectado al área de sistemas, etc.
Seguridad lógica
Los datos pueden sufrir consultas y modificaciones no autorizadas, además de destrucciones.
Por ello se deben implementar medidas de seguridad lógica que hacen a la:
 Identificación: de la persona que quiere acceder a esos datos
 Autenticación: de esa persona. Se debe certificar que quien se identifica es quien dice ser (“algo que
uno sabe, algo que uno tiene, algo que uno es”). Si se utilizan claves las mismas deben ser únicas,
fáciles de memorizar, expirables luego de un lapso determinado y deben aceptar una cantidad mínima
de intentos fallidos. Es recomendable contar con un sector que se encargue de la administración de
todas las claves.
 Autorización: se deben limitar las autorizaciones en el uso de los recursos del SI (tanto de los datos
como de las funciones que puedan realizarse con esos datos)
 Documentación: se deben llevar registros de todos los acontecimientos para tareas de vigilancia y
seguimiento estadístico.
PLAN DE CONTINGENCIA
La organización debe estar preparada para la ocurrencia de hechos accidentales, desastres naturales o actos
intencionales que pongan en peligro su normal operatoria. Siempre se debe asegurar el COB (continuity of
business). Las principales causas de la falta de prevención son:
 “No nos puede pasar a nosotros”
 Apatía en los cargos jerárquicos
 Desconocimiento de cómo preparar un plan
 Difícil cuantificación de beneficios
Se deben analizar todos los riesgos, establecer los recursos críticos, elaborar un proyecto, desarrollar el plan y
realizar las pruebas pertinentes
Fase de emergencia: si se produce algún hecho grave, se debe establecer el ambiente de reconstrucción y
recuperación y minimizar los daños ocurridos (las medidas de prevención serán fundamentales para evitar daños
graves).
Fase de enlace: se deben brindar alternativas de procesamiento para mantener la capacidad operativa y se deben
facilitar las tareas de recuperación del ambiente.
Fase de back-up: es necesario continuar operando con el procesamiento alternativo proveyendo los sets de copias
de resguardo necesarios para ello.
Fase de recupero: se debe restaurar totalmente el SI a su normal funcionamiento, discontinuando la operación con
el procesamiento alternativo y convirtiendo las operaciones y archivos del modo de enlace al modo normal
Descargar