POLTICAS Y PROCEDIMIENTOS Escrito por Jessica Karen Vzquez Neve Villaseor
CAPITULO 1. UN ENFOQUE NUEVO SOBRE LA SEGURIDAD EN COMPUTACIN: CONCEPTO DE SEGURIDAD TOTAL.
Actualmente el abuso en el manejo de las computadoras o el desastre a causa de robo, fraude, sabotaje o interrupcin en las actividades de cmputo, son preocupaciones que aquejan a los gerentes encargados de un centro de cmputo. La seguridad en un Centro de Cmputo es un tema en el que no se ha profundizado apropiadamente, destacando solo la seguridad fsica y contra incendios, dando una sensacin falsa de seguridad a los encargados de esta rea, mientras en realidad el nivel de seguridad esta por debajo del estndar aceptable y el nivel de compromiso de la gerencia con la efectividad real es bajo. Como consecuencia, los factores de seguridad se han modificado, aumentando el nivel de seguridad que se requiere: * Concentracin del procesamiento y aplicaciones mas grandes y de mayor complejidad, sta es, probablemente, la causa principal del incremento en los riesgos de internet, adems de la tendencia a utilizar estos procesamientos en lnea y en tiempo real, as como el uso de bases de datos o archivos sofisticados con informacin confidencial, la amnesia corporativa debido a un desastre computacional o la suspensin prolongada de procesamiento. * Dependencia en el personal clave, pone a la institucin en manos de pocas personas expertas en computacin, provocando chantaje o extorsin por parte de ellas, as como las modificaciones o el funcionamiento no registrado del programa. * Desaparicin de los controles tradicionales, la comunicacin entre tcnicos, los gerentes, personal de seguridad y empleados causan dificultades en los trminos convencionales comerciales. Muchas de las nuevas y extensas aplicaciones omiten las auditorias tradicionales y los controles impresos, las aplicaciones contienen verificadores automticos que aseguran la integridad de informacin que se procesa, este cambio sobre el control de los empleados y la comunicacin crean situaciones de seguridad totalmente diferentes. * Terrorismo urbano e inestabilidad social, se deben tomar en cuenta ataques tanto externa como internamente, por parte de personal mismo de la empresa. * Mayor conciencia de los proveedores de computadoras, la investigacin y apoyo de stos han incrementado en el rea de seguridad. ENFOQUES TRADICIONALES SOBRE LA SEGURIDAD EN COMPUTACIN Las reas donde se destaca la seguridad son: * La seguridad fsica (que incluye la seguridad de acceso y contra incendios) * La seguridad de datos y archivos Consecuentemente, la mayora de las empresas utilizan procedimientos complejos de control de acceso y el copiado de informacin se realiza cuidadosamente, dos elementos de la seguridad general de la seguridad en computacin. Sin embargo, es difcil encontrar un lugar donde se haya hecho una revisin completa de la seguridad, y en casi todos los casos se espera o se toma conciencia de sta hasta que se suscita un incidente dentro o fuera de la empresa. CONCEPTO DE SEGURIDAD TOTAL EN COMPUTACIN Para el manejo y control de la seguridad se deben tener en cuenta dos reas: * Administrativa: o Poltica definida sobre seguridad en computacin. o Organizacin y divisin de responsabilidades. o Seguridad fsica y contra incendios. o Polticas hacia el personal. o Seguros * Tcnica y de procedimiento: o Seguridad de los sistemas (equipo y programacin, redes y sistemas terminales). o Seguridad de las aplicaciones (datos y archivos). o Estndares de programacin y operacin de los sistemas. o Funcin de la auditora interna y externa. o Plan y simulacro para desastres.
CAPITULO 2
2 DEFINICIN DE UNA POLTICA DE SEGURIDAD EN COMPUTACIN
CAPITULO 3. ORGANIZACIN Y DIVISIN DE RESPONSABILIDADES
La organizacin de las actividades de cmputo incluye cuatro aspectos que afectan la seguridad de la computacin: 1. DIVISIN DE RESPONSABILIDADES. La divisin de responsabilidades permite lograr la revisin y los balances sobre la calidad de trabajo. En computacin, hay recursos que mejoran la calidad del control gerencial y la seguridad. a. El personal que prepara los datos no debe tener acceso a las actividades de operacin. b. Los analistas de sistemas y los programadores no deben tener acceso a las actividades de operacin y viceversa. c. Los operadores no deben tener acceso irrestricto a las funciones de proteccin de informacin o departamentos donde estn archivos maestros. d. Los operadores no deben tener los controles del procesamiento del trabajo y se le debe prohibir que inicien las correcciones de los errores. Se debe reforzar la divisin del trabajo mediante restricciones firmes fsicas y de procedimiento, asi, los elementos clave son funciones definidas y autnomas; en computacin los elementos clave son: * Desarrollo de los sistemas. * Programacin. * Mantenimiento de programas. * Apoyo en el uso de los programas. * Preparacin de los datos. * Operaciones centrales y remotas. * Control. * Preservacin de los archivos. Las divisiones tambin se deben aplicar a procedimientos del usuario, a nivel de la aplicacin, inhibiendo la flexibilidad excesiva sin afectar la eficiencia, para esto se usan las funciones de control y de archivo, los cuales, se recomienda, estarn bajo la supervisin de las autoridades mas altas. El grado de divisin de stas depende del nivel de seguridad que se requiera.
3 2. SISTEMAS DE CONTROL INTERNO. La divisin de responsabilidades y los sistemas de verificacin interna (las comprobaciones de que la recoleccin de datos es completa y precisa y que se trabaja de acuerdo a la divisin de responsabilidades y jerarqua) se combinan para formar el sistema de control interno. La verificacin documentada de evidencias requiere que: a. Las modificaciones de los programas se autoricen y prueben adecuadamente. b. Se documente los sistemas nuevos y se prueben antes de la entrega para la produccin. c. Los departamentos originadores documenten y verifiquen los datos de los archivos. d. Los datos de entrada se agrupen contra impresos que sean editados. e. Se documenten los errores y se autoricen y comparen las correcciones de los mismos con el material impreso. Los auditores internos y externos deben: * Revisar la divisin de responsabilidades y los procedimientos para garantizar que estn correctos. * Realizar pruebas que garanticen el cumplimiento de los procedimientos o sistemas de control interno predeterminados. 3. ASIGNACIN DE RESPONSABILIDAD EN CUANTO A LA SEGURIDAD. En la descripcin de las labores, tanto de la gerencia comercial como la de computacin, es importante especificar esta responsabilidad. La seguridad es un rea clave de resultados o de accin. En la gerencia, las responsabilidades se determinan segn las polticas; conforme desciende la jerarqua las responsabilidades son mas operativas y detalladas. 4. SUSTITUCIN DEL PERSONAL CLAVE. Un elemento que es esencial para la seguridad en computacin consiste en garantizar que todo el personal clave tenga una sustitucin adecuada.
CAPITULO 4. SEGURIDAD FSICA Y CONTRA INCENDIOS
4 CAPITULO 5. POLTICAS HACIA EL PERSONAL POLTICAS DE CONTRATACIN En trminos de seguridad, las caractersticas mas importantes de una poltica de contrtacin son: * Verificacin de referencias y antecedentes de seguridad. Se debe compilar una lista de verificacin detallada del solicitante, las verificaciones muy pocas veces pueden ser exhaustivas. Las compaas de seguros pueden ayudar para la verificacin de referencias. En las instalaciones de alta seguridad se obtienen los antecedentes de los agentes de seguridad. * Pruebas psicolgicas. Esto constituye un refuerzo potencial. stas no solo evalan las aptitudes, sino tambin las actitudes, valores sociales, opiniones polticas y estabilidad general. * Exmenes mdicos. Evalan no solo el estado fsico, sino tambin las actitudes y la estabilidad potencial del contratado (la habilidad de manejar el stress, por ejemplo). Algunas empresas han adoptado en sus polticas realizar exmenes mdicos semestrales o anuales para sus empleados. PROCEDIMIENTOS PARA EVALUAR EL DESEMPEO Aunque las actividades de procedimientos para evaluar el desempeo estn destinadas a valorar la efectividad de los aspectos administrativos y de trabajo, estas tambin colaboran con la efectividad de la seguridad. La evaluacin del desempeo puede servir de igual manera para evaluar las actitudes hacia el trabajo y los sentimientos generales hacia la institucin. Esta etapa puede identificar y ayudar al personal con problemas personales o de actitud. POLTICAS SOBRE PERMISOS El personal de cmputo es de inteligencia y preparacin superiores al promedio, con frecuencia son personas muy sensibles y se han notado la incidencia de crisis nerviosas, es por eso que la reglamentacin de permisos es importante para asegurar que el personal expuesto al stress descanse peridicamente de manera apropiada. ROTACIN DE PUESTOS La rotacin de puestos es recomendable en los niveles de responsabilidad medio y bajo, donde no solo un individduo tiene acceso a las actividades de un frente muy amplio, como en un ambiente de alta seguridad. EVALUACIN DE LAS ACTITUDES DEL PERSONAL. La posibilidad de que surjan fisuras en la seguridad debido a accidentes o ataques deliberados es mas alta en un ambiente donde la motivacin es baja. El uso de encuestas sobre actitudes puede ser un instrumento valioso para el seguiemiento de rutina en esta aspecto de la poltica hacia el personal.
CAPITULO 6 LOS SEGUROS PROBLEMAS TRADICIONALES Existen dos problemas principales en cuanto a la contratacin de seguros: * La existencia de vaco en la comunicacin; en general, los aseguradores saben mucho sobre riesgos comerciales pero muy poco acerca de computadoras, mientras el personal sabe mucho sobre computadoras pero muy poco sobre seguros. * Falta de entendimiento respectos a los riesgos y sus consecuencias, ya que las reclamaciones sobre seguros computacionales han sido pocos. El resultado de estos problemas es muy pocos usuarios de computadoras gozan de una cobertura de seguros adecuada para todos los riesgos. Para tener una cobertura de seguro adecuada es importante tomar en cuenta: * Las reas de riesgo asegurables. * Los servicios de seguros especializados. * El cambio del tipo de riesgo. REAS DE RIESGO ASEGURABLES * Ambiente. Los riesgos pueden ser externos: o Explosivos y el material o los procesos inflamables. o Atmosferas txicas, calientes, con gas, polvo o abrasivos. o Riesgos de inundacin en las reas bajas. Los riesgos internos surgen del mal funcionamiento de los servicios de los que depende la computadora: o Fuentes de energa. o Equipos de aire acondicionado. o Detectores de fuego, calor o humo; aparatos que emanan dixido de carbono o gas y los que lanzan agua. o Aparatos que contienen agua, como la calefaccin central o el sistema de drenaje. o Errores del sistema o de los procedimientos de seguridad y el acceso no autorizado, que pueden causar daos o interrupciones del servicio. Todos estos riesgos generalmente se pueden cubrir con plizas convencionales. * Equipo. El equipo abarca la totalidad de la instalacin de cmputo: edificio, mobiliario, aire acondicionado, equipo auxiliar, fuentes de energa, cintas, tarjetas, papelera, etc. y la computadora en si. Esta ultima incluye todo tipo de procesamiento, sistemas terminales y redes, por esto, es probable que se necesite mas de una pliza.
5 o Responsabilidad del seguro. En las instalaciones existen tanto equipos comprados como rentados. El rentado se debe considerar a parte, pues el contrato con el arrendador establece, por lo general, previsiones especiales; el vendedor posee su propio contrato de seguros, sin embargo se necesita examinar los contratos y aclarar la cobertura y los riesgos a los que se considera expuesto el equipo. En el caso del equipo comprado, es importante que estos recursos se aseguren por el valor de su reposicin y no de su costo, as los costos de reposicin se tienen que verificar peridicamente. o Riesgos por cubrir. Los principales riesgos por cubrir son: Dao por causas externas (fuego, relmpagos, inundaciones, terremotos, rompimiento de caeras, dao por impacto, disturbios, tumultos civiles, etc.). Dao por causas internas. Muchos de estos aspectos no son asegurables como acciones deliberadas o de negligencia por parte de los operadores, que causen daos al equipo; daos a consecuencia del paro prolongado del funcionamiento de la planta del aire acondicionado.
* Programas y datos. Los programas incluyen: Sistemas operativos (por lo general, provistos por el fabricante de la computadora), Programas de aplicacin (obtenidos por terceros), Programas desarrollados en la institucin, Programas operativos pertenecientes a terceros que se encuentran a cargo del usuario. Los datos son los archivos maestros y de transacciones y los datos en su estado original. o Seguros contra prdida o daos. Por lo general, los trminos programa y datos no se mencionan en las plizas de seguros (llamados registros comerciales), por lo tanto hay que cuidar un entendimiento correcto entre asegurado y asegurador acerca del rango de medios por cubrir. Los registros de los sistemas de cmputo se deben asegurar: Contra la prdida o el dao causado al medio. Segn el costo de reposicin de la informacin registrada en ellos. o Programas de computadora. Los riesgos relacionados con los programas pueden ser: Extrados del edificio y extraviados. Robados. Ubicados en otras instalaciones que fueron daadas. Daados en forma involuntaria o deliberada por terceros. Los programas se pueden considerar como objetos y pueden ser asegurados como tales. La determinacin del valor se puede calcular en base a: Los costos de produccin del equipo. Los costos de reproduccin del programa. El valor comercial del programa. * Interrupcin comercial y su recuperacin. El dao causado a una computadora se puede traducir la reduccin de su valor as como la provocacin de incapacidad para realizar ciertas operaciones, lo que puede significar prdidas financieras. Estos riesgos se deben cubrir con una pliza de interrupcin comercial o prdida de ganancias. o Evaluacin de las consecuencias. Se debe abarcar: Los costos que permanecen constantes aunque el negocio funcione a nivel reducido de actividad. Los costos adicionales de trabajo para minimizar los efectos de la prdida en los ingresos. La depreciacin del valor de los artculo perecederos. Las multas por la entrega retardada. La interrupcin en los sistemas de control que puede causar un desequilibrio en la produccin o en los niveles de inventario. La incapacidad de cobrar o recolectar las deudas importantes. Las demoras en la aplicacin de los nuevos sistemas, lo que podra retardar la produccin de nuevas mercancas o servicios. La desorganizacin administrativa general con repercusin en las reas de comercio de la compaa. o Efectos de la interrupcin sobre el costo. Ya identificados los riesgos se procede a la elaboracin de un anlisis financiero con respecto a las opciones de acciones defensiva y los costos probables de cada una. Los dos elementos se deben incorporar de manera especfica en tal cobertura de seguros: El costo incrementado del trabajo solamente. La prdida de ganancias o ingresos. * El personal. La situacin de riesgo que deriva de la accin, actitud y circunstancia relacionadas con el personal se cubre con las plizas existentes, sin embargo se debe revisar algunos aspectos especficos: o Daos causados por el personal. Pueden ser accidentales, deliberados o producto de la negligencia. Los recursos y programas deben estar especialmente cubiertos contra estos tipos de daos. o Daos al personal. Pueden ser causados por: Riesgos elctricos o mecnicos. Riesgos que provienen de los dispositivos de proteccin, tales como los extinguidores de dixido de carbono. Riesgos resultantes de condiciones de trabajo excepcionales. Riesgos debidos a la falta de conocimiento del personal de cmputo o de otro tipo. Para cubrir y minimizar estos riesgos se deben checar las plizas de los patrones y de responsabilidad pblica. o Actos deshonestos del personal. El personal clave de cmputo debe estar cubierto por la pliza de garanta de fidelidad a la empresa.
6 * Responsabilidades de terceras personas. La contratacin de terceras personas que usen el C. C. se debe revisar y documentar apropiadamente para evitar los riesgos adicionales que estas pueden causar; se debe especificar especialmente en la cobertura del seguro por prdida. SERVICIOS DE SEGURO ESPECIALIZADOS Estos servicios incluyen la dotacin de personal altamente capacitado en el manejo de computadoras y de los riesgos inherentes. Varias compaas cuentan con plizas especializadas para usuarios de computadoras, estas compaas pueden resultar muy itles para la evaluacin de los riesgos y plizas de seguros. SEGUIMIENTO DE LOS CAMBIOS EN LOS RIESGOS Se rene un comit de seguridad cuyos objetivos son: 1. Identificar y cuantificar los riesgos directos y consecuentes de la instalacin de cmputo en la empresa. 2. Garantizar que la cobertura se revise para tomar nota de los incrementos en los costos o en los precios de d reposicin. 3. Garantizar la existencia de los planes de contingencia adecuados, especialmente cuando no se puede obtener cobertura del seguro. 4. Asegurar que la prdida consecuente se excluya de las responsabilidades de la institucin hacia terceras personas. 5. Obtener asesora y orientacin especializadas cuando se requiera. El comit debe contar con representantes de las siguientes dependencias: * La gerencia de procedimiento de datos. * La compaa de seguros. * Los gestores de seguros. * El departamento de control secretarial o financiero. * La auditora interna o externa. Es posible asegurar la cobertura de riesgos esta claramente identificada y actualizada, por medio de las reuniones peridicas.
CAPITULO 7 SEGURIDAD DE LOS SISTEMAS
7 CAPITULO 8 SEGURIDAD DE LAS APLICACIONES ALCANCE Abarca tanto a los componentes de la computadora (datos, programas y archivos que se procesan en el sistema) como los que no lo son (recoleccin y entrega de datos e informacin del archivo maestro para el procesamiento). Las etapas clsicas de cada sistema implican: * Iniciacin manual de los datos. * Conversin de los datos a un formato aceptable por la computadora (captura de datos). * Procesamiento. * Distribucin de los resultados. EL DEFECTO COMN: LA RELACIN ENTRE LA COMPUTADORA Y EL USUARIO En muchas instalaciones se presta mucha atencin a los controles tanto en los departamentos de usuarios como en los de computadoras. A pesar de ello, debido a que los controles los realizan distintas personas en cada rea, existen vacos respecto a los contactos entre las dos reas. Un gran problema en todos los sistemas de cmputo es el del control de errores. Existen ciertos puntos clave: * Todos los errores se deben corregir. * Los errores solo se deben corregir por el personal autorizado. * La divisin de la responsabilidad se debe mantener cuando se asigne la autoridad para la correccin de errores. Otro punto importante dentro de la relacin hombre-mquina es la distribucin de los datos. La seguridad respecto a la distribucin debe cubrir lo siguiente: * La responsabilidad e identificacin del personal autorizado para el acceso a los informes. * El control sobre los resultados tanto para las operaciones vlidas como las frustradas. * El control sobre las que fueron copias carbn de los informes corregidos. CONTROLES DEL USUARIO El usuario tiene la responsabilidad de asegurar que los datos recolectados para el procesamiento estn completos y sean precisos, as como todos los datos se procesen y se incluyan en los informes que le regresen. CONTROLES DE PROCESAMIENTO DE LA COMPUTADORA Y SEGURIDAD DE LOS ARCHIVOS. * Controles de procesamiento de la computadora. Son los controles que se encuentran dentro del sistema de cmputo y pueden ser: o De procedimiento: Cuyo propsito es garantizar el procesamiento completo y preciso de los datos y archivos con el uso de programas correctos e incluyen: Divisin de la responsabilidad entre captura de datos y operacin. Divisin de la responsabilidad entre operaciones y archivo. Registro de evidencias que reflejan la transferencia de registros y datos entre las diferentes funciones. Control sobre la precisin y distribucin de los resultados. o Aritmticos: Son los que garantizan el procesamiento completo y preciso de todos los registros de datos, durante y al final del procedimiento. * Seguridad de los archivos. Este abarca: o Almacenamiento de las copias de seguridad en un lugar distante. La ubicacin del almacenamiento de estos archivos debe estar distante de la computadora. En el transporte de discos y cintas a lugares lejanos se deben tener mayores medidas de seguridad y no debe hacerse por una sola persona. o Identificacin y control de los archivos. Incluye la revisin fsisca de las etiquetas y los registros fsicos del movimiento de tales archivo, as como las verificaciones de identificacin de los encabezados de los archivos que realiza la programacin en forma rutinaria. o Precisin de los archivos. Los estndares de la instalacin deben incorporar en los programas, controles detallados de principio a fin y conteos de registros. Se debe incorporar el balance detallado registro por registro y/o los conteos binarios. La verificacin e igualacin de estos conteos aritmticos se deben balancear con los controles manuales de cada proceso que realizan la funcin de control. o Acceso fsico a los archivos. Los operadores de cmputo no deben tener acceso rutinario al archivo de cintas, el cual debe estar bajo control de otras personas quienes se encuentran adscritas a alguien que no realice funciones de operacin. REVISIN REGULAR DE LOS CONTROLES DE APLICACIN Esta revisin es una tarea compleja y estricta que requiere de tiempo.
8 CAPITULO 9 ESTNDARES DE PROGRAMACIN Y OPERACIN DE SISTEMAS Como ya se ha mencionado, las prcticas adecuados, y en especial el uso de tcnicas estructurales, mejoran automticamente el nivel de seguridad en las aplicaciones. De esto se puede concluir que el aspecto fundamental no es la seguridad, sino el compromiso con los buenos estndares de trabajo, lo cual todava es un punto a tratar en muchos C.C. Los sistemas de seguridad necesitan verificarse en varios de los puntos del proceso de control de calidad. Existen dos grandes razones para revisar los estndares como parte de la seguridad en computacin: * La necesidad de poner atencin en la seguridad durante todas las etapas, preliminares y subsiguientes, del anlisis y del diseo. * La exigencia de arreglos de respaldo adecuados, como la duplicacin de los sistemas, programacin y documentacin de operaciones. La consideracin de los estndares se divide en dos partes. Los sistemas y la programacin, y las operaciones. SISTEMAS Y ESTNDARES DE PROGRAMACIN La seguridad, a su vez debe considerarse en dos niveles: 1. Para la instalacin de un todo. Requiere una planificacin a largo plazo para garantizar que se tome en cuenta la seguridad en la realizacin de las aplicaciones progresivas. Generalmente se requiere de grandes estudios que toman tiempo. 2. Las aplicaciones especificas. Tiene un significado a corto plazo. * SEGURIDAD Y PLANEACIN COMPUTACIONAL A LARGO PLAZO. La omisin de los aspectos de seguridad en la etapa de diseo acarrean revisiones mas costosas. Es, entonces, importante incorporar objetivos y estndares de seguridad camo una parte integral de la actividad de planeacin computacional a largo plazo. Los puntos clave a considerar son: 1. El impacto de la seguridad en computacin sobre la estrategia del equipo y los programas. 2. Las consideraciones de la seguridad de las terminales respecto a: a. Los controles de la aplicacin. b. Los requisitos fsicos y la ubicacin. c. La estrategia de las redes, la seguridad y el respaldo. 3. Los estndares de control de la aplicacin, especialmente los de reinicio y de respaldo. 4. Los estndares de los datos y del diseo de archivos. 5. La funcin de las auditorias interna y externa y los requisitos durante las fases de diseo, aplicacin y operacin. Los aspectos de seguridad deben ser considerados de manera rutinaria a travs del proceso de planeacin. * GARANTA DE CALIDAD DE LA APLICACIN A CORTO PLAZO. Dentro de este marco de plan computacional, se disean y llevan a cabo las aplicaciones individuales. Dentro de cada aplicacin, hay aspectos que deben tener un seguimiento de rutina de nivel detallado. Los elementos principales a revisar son: o Seguridad del equipo y los programas: Estos varas dependiendo de del tipo de aplicacin y los niveles de seguridad exigidos por la institucin o por la instalacin de cmputo como un todo. En las fases de iniciacin, los objetivos de seguridad deben estar definidos con claridad y deben incluir la consideracin de los datos de transacciones, los datos registrados en el archivo maestro y la seguridad del programa. Si se utilizan terminales, hay que poner atencin en ella. o Controles de la aplicacin: Las necesidades de control se incluyen en dos categoras: Los controles del usuario. Los controles detallados de cada proceso, de los datos y los archivos, por parte de las operaciones. * SUPERVISIN Y MTODOS DE TRABAJO En general, es cierto que la seguridad es buena cuando existe una gerencia efectiva. Esto se puede aplicar a las situaciones donde existen estndares bien estructurados y definidos respecto al mtodo de trabajo. Los mtodos estructurados que incluyen verificaciones regulares tambin facilitan la supervisin. Las principales consideraciones de seguridad como parte del proceso de diseo son: o Puntos de enlace claramente definidos; estos refuerzan la divisin de responsabilidades y mejoran el proceso de control de calidad. o Programas de prueba y conversin; la puesta en marcha de nuevas aplicaciones es un periodo de riesgo y se requieren procedimientos bastante y controlados. * DOCUMENTACIN Se necesitan preocupaciones similares para las aplicaciones terminadas, las principales son: o El almacenamiento de la documentacin para todas las aplicaciones en un lugar distante; se deben incorporar como rutina las modificaciones por mantenimiento. o El acceso a la documentacin se debe restringir al personal directamente relacionado con el proyecto y, en las instalaciones de alta seguridad, quiz solo a mdulos de esa aplicacin. OPERACIONES La instalacin puede estar expuesta a un riesgo considerable debido a la ausencia de: * Estndares adecuados para las actividades de operacin, incluyendo la preparacin de datos. * Arreglos para el almacenamiento de la documentacin duplicada. Los estndares de operacin deben incluir: * Buenas practicas para el uso de las copias de seguridad de los programas, datos o archivos. * Procedimientos de entrega para las aplicaciones nuevas. * Etapas al establecer aplicaciones nuevas.
9 CAPITULO 10 FUNCIN DE LOS AUDITORES TANTO INTERNOS COMO EXTERNOS FUNCIONES GENERALES DE LA AUDITORA * Auditores externos. La responsabilidad del auditor externo se refiere a estatutos legales, por ejemplo, la legislacin bancaria o de seguros. Algunas veces, mediante algn acuerdo, el auditor externo puede asumir un trabajo especial. * Auditores internos. Sus actividades varan de una empresa a otra. Algunas veces, desempea funciones de alto nivel como informar sobre la efectividad gerencial de la institucin; en otras, su funcin principal es verificar los sistemas y procedimientos y encargarse de que se refuercen. El auditor interno es una forma de inspector interno, as, sus actividades abarcan: o Participacin activa en el proceso de desarrollo, al garantizar la incorporacin de las medidas adecuadas de seguridad y auditora y tambin al colaborar con las revisiones de los puntos de verificacin del proceso. o Revisin de sistemas y controles de la aplicacin, tanto en los departamentos de usuarios como en los centros de procesamiento computacional. o Revisin de la poltica y los procedimientos d seguridad en computacin, y participacin activa en las pruebas contra desastres. o Introduccin de tcnicas avanzadas para la auditora de los sistemas computacionales complejos. FUNCIONES Y SEGURIDAD DE LA AUDITORA EN COMPUTACIN Para lograr una contribucin efectiva de la funcin de auditora a la seguridad computacional, se deben considerar cierto nmero de aspectos importantes: * El alcance de la auditora interna en la seguridad computacional. * Una relacin clara entre los auditores externos y los internos. * El papel de la auditora interna en la sociedad. * El papel de la auditora interna en los sistemas en operacin. * La instruccin y capacitacin para la auditora interna efectiva.
CAPITULO 11 PLANES Y SIMULACROS PARA LA RECUPERACIN EN CASO DE DESASTRES TIPOS DE DESASTRE * Destruccin completa de los recursos centralizados de procesamiento de datos. * Destruccin parcial de los recursos centralizados de procesamiento de datos. * Destruccin o mal funcionamiento de los recursos ambientales destinados al procesamiento centralizado de datos (energa, aire acondicionado, etc.) * Destruccin total o parcial de los recursos descentralizados de procesamiento de datos. * Destruccin total o parcial de los procedimientos manuales del usuario, utilizados para la captura de la informacin de entrada para los sistemas de cmputo. * Perdida del personal de computo clave. * Interrupcin por huelga. ALCANCE DE LA PLANEACIN CONTRA DESASTRES Abarca tanto las aplicaciones en proceso de desarrollo como las operativas. En las operativas existen reas que requieren proteccin en caso de desastre y recursos para la recuperacin: * Documentacin de los sistemas, la programacin y las operaciones. * Recursos de procesamiento que incluyen: * Todo tipo de equipo. * Ambiente para el equipo. * Datos y archivos. * Programas. * Papelera. APLICACIONES EN EL PROCESO DE DESARROLLO Tericamente, un desastre se puede presentar en cualquier etapa del desarrollo de una aplicacin. No obstante, segn la ley de Murphy, el desastre tiende a suceder cuando la aplicacin est casi terminada pero la documentacin no esta completa. En cada punto de verificacin o pausa del proyecto, es importante que se lleve a cabo una revisin cuidadosa a fin de asegurar que existe una adecuada proteccin contra desastres. De esta forma, las consideraciones sobre seguridad y desastres se deben incorporar como asuntos estndar en la verificacin de cada fase de trabajo. Aun cuando se cuente con una excelente planeacin contra desastres, es aconsejable tener en mente que siempre se incurrir en algunos gastos en caso de que suceda alguno.
10 APLICACIONES TERMINADAS * Sistemas y programacin. Dentro de los estndares de seguridad de sistemas, programacin y operaciones, se deben considerar, no solo la existencia de la documentacin que estos almacenan sino tambin las consecuencias que pueda traer la perdida de esta. * Operaciones de procesamiento. La planeacin contra desastres debe incluir las actividades y los procedimientos del usuario; si el caso lo amerita, los recursos de transmisin y redes, el procesamiento centralizado y descentralizado y la redistribucin de los resultados a los puntos de usuarios. o Equipo. Incluye: Equipo de terminales o de entrada de datos. Equipo de procesamiento. Equipo ambientas (aire acondicionado, energa, etc.) Recursos de distribucin y arreglos incluyendo red y terminales. Guillotinas, desintercaladoras y cortadoras. o Datos y archivos. Se necesita contar con existencias de papelera de emergencia, las cuales se debern guardar en otro lugar para evitar las dificultades que acarreara la destruccin del depsito central de papelera; esta incluye: Datos fuente. Documentacin de informes y resultados (facturas, recibos y balances). o Procedimientos en caso de desastres. Cada aplicacin debe tener sus procedimientos por escrito, donde se diferencia los tipos de desastres a los que estn expuestos. Los procedimientos deben especificar: Las responsabilidades en caso de desastre y la organizacin que entrar en vigencia. La accin inmediata que debe seguir. + Organizacin y responsabilidades para los procedimientos de recuperacin. + Clasificacin del tipo de desastre. + Evaluacin de los daos. + Determinacin de prioridades. + Informacin de la situacin a los usuarios y a la gerencia general. + Plan de accin para la recuperacin. Planes de desastre muy detallados. Adiestramiento a todo el personal. Rutina de aplicacin de practicas para aumentar la seguridad. SIMULACROS DE DESASTRES Los simulacros de desastres son importantes por las siguientes razones: * Se prueban la conciencia y preparacin del personal para afrontar el desastre. * Se identifican las omisiones en los planes contra desastres. * El elemento sorpresa de los simulacros constituye una verificacin para que estn vigentes las practicas de seguridad. * Alcance de los simulacros de desastre. Los simulacros constituirn el desastre total o parcial; deben incluir procedimientos de los usuarios y aspectos de computacin. * Frecuencia de los simulacros de desastre. Los simulacros deben realizarse espordica y sorpresivamente. Necesitan de la experiencia y se sugiere hacerlos en momentos relativamente convenientes. A pesar de que el realismo es importante, se deben compilar planes muy cuidadosos para que estos no causen daos reales. * Forma del simulacro de desastre. La prueba de desastre adquiere la forma de un desastre simulado: o Se anuncia que un cierto tipo de desastre ha ocurrido o El trabajo cesa temporalmente. o Se debe completar un inventario de cualquier informacin que haya sido destruida durante el desastre. o El trabajo recomienza. * Anlisis del impacto. Se rene el siguiente inventario: o Las aplicaciones en desarrollo. o Las aplicaciones operativas, en proceso o no. o La informacin perdida. o El informe de la respuesta del personal. o La cuantificacin de la perdida por la destruccin de informacin o la interrupcin del proceso. o La efectividad de los procedimientos de recuperacin y respaldo, basados en informacin real. o Anlisis de las debilidades detectadas durante el simulacro