1

SEGURIDAD EN CENTROS DE CMPUTO

POLTICAS Y PROCEDIMIENTOS
Escrito por Jessica Karen Vzquez Neve Villaseor


CAPITULO 1.
UN ENFOQUE NUEVO SOBRE LA SEGURIDAD EN COMPUTACIN: CONCEPTO DE SEGURIDAD TOTAL.

Actualmente el abuso en el manejo de las computadoras o el desastre a causa de robo, fraude, sabotaje o interrupcin en las
actividades de cmputo, son preocupaciones que aquejan a los gerentes encargados de un centro de cmputo. La seguridad en un Centro
de Cmputo es un tema en el que no se ha profundizado apropiadamente, destacando solo la seguridad fsica y contra incendios, dando
una sensacin falsa de seguridad a los encargados de esta rea, mientras en realidad el nivel de seguridad esta por debajo del estndar
aceptable y el nivel de compromiso de la gerencia con la efectividad real es bajo.
Como consecuencia, los factores de seguridad se han modificado, aumentando el nivel de seguridad que se requiere:
* Concentracin del procesamiento y aplicaciones mas grandes y de mayor complejidad, sta es, probablemente, la causa principal del
incremento en los riesgos de internet, adems de la tendencia a utilizar estos procesamientos en lnea y en tiempo real, as como
el uso de bases de datos o archivos sofisticados con informacin confidencial, la amnesia corporativa debido a un desastre
computacional o la suspensin prolongada de procesamiento.
* Dependencia en el personal clave, pone a la institucin en manos de pocas personas expertas en computacin, provocando chantaje
o extorsin por parte de ellas, as como las modificaciones o el funcionamiento no registrado del programa.
* Desaparicin de los controles tradicionales, la comunicacin entre tcnicos, los gerentes, personal de seguridad y empleados causan
dificultades en los trminos convencionales comerciales. Muchas de las nuevas y extensas aplicaciones omiten las auditorias
tradicionales y los controles impresos, las aplicaciones contienen verificadores automticos que aseguran la integridad de
informacin que se procesa, este cambio sobre el control de los empleados y la comunicacin crean situaciones de seguridad
totalmente diferentes.
* Terrorismo urbano e inestabilidad social, se deben tomar en cuenta ataques tanto externa como internamente, por parte de
personal mismo de la empresa.
* Mayor conciencia de los proveedores de computadoras, la investigacin y apoyo de stos han incrementado en el rea de
seguridad.
ENFOQUES TRADICIONALES SOBRE LA SEGURIDAD EN COMPUTACIN
Las reas donde se destaca la seguridad son:
* La seguridad fsica (que incluye la seguridad de acceso y contra incendios)
* La seguridad de datos y archivos
Consecuentemente, la mayora de las empresas utilizan procedimientos complejos de control de acceso y el copiado de
informacin se realiza cuidadosamente, dos elementos de la seguridad general de la seguridad en computacin. Sin embargo, es difcil
encontrar un lugar donde se haya hecho una revisin completa de la seguridad, y en casi todos los casos se espera o se toma conciencia de
sta hasta que se suscita un incidente dentro o fuera de la empresa.
CONCEPTO DE SEGURIDAD TOTAL EN COMPUTACIN
Para el manejo y control de la seguridad se deben tener en cuenta dos reas:
* Administrativa:
o Poltica definida sobre seguridad en computacin.
o Organizacin y divisin de responsabilidades.
o Seguridad fsica y contra incendios.
o Polticas hacia el personal.
o Seguros
* Tcnica y de procedimiento:
o Seguridad de los sistemas (equipo y programacin, redes y sistemas terminales).
o Seguridad de las aplicaciones (datos y archivos).
o Estndares de programacin y operacin de los sistemas.
o Funcin de la auditora interna y externa.
o Plan y simulacro para desastres.








CAPITULO 2

2
DEFINICIN DE UNA POLTICA DE SEGURIDAD EN COMPUTACIN


CAPITULO 3.
ORGANIZACIN Y DIVISIN DE RESPONSABILIDADES

La organizacin de las actividades de cmputo incluye cuatro aspectos que afectan la seguridad de la computacin:
1. DIVISIN DE RESPONSABILIDADES. La divisin de responsabilidades permite lograr la revisin y los balances sobre la calidad
de trabajo. En computacin, hay recursos que mejoran la calidad del control gerencial y la seguridad.
a. El personal que prepara los datos no debe tener acceso a las actividades de operacin.
b. Los analistas de sistemas y los programadores no deben tener acceso a las actividades de operacin y viceversa.
c. Los operadores no deben tener acceso irrestricto a las funciones de proteccin de informacin o departamentos donde
estn archivos maestros.
d. Los operadores no deben tener los controles del procesamiento del trabajo y se le debe prohibir que inicien las
correcciones de los errores.
Se debe reforzar la divisin del trabajo mediante restricciones firmes fsicas y de procedimiento, asi, los elementos clave son
funciones definidas y autnomas; en computacin los elementos clave son:
* Desarrollo de los sistemas.
* Programacin.
* Mantenimiento de programas.
* Apoyo en el uso de los programas.
* Preparacin de los datos.
* Operaciones centrales y remotas.
* Control.
* Preservacin de los archivos.
Las divisiones tambin se deben aplicar a procedimientos del usuario, a nivel de la aplicacin, inhibiendo la flexibilidad excesiva
sin afectar la eficiencia, para esto se usan las funciones de control y de archivo, los cuales, se recomienda, estarn bajo la
supervisin de las autoridades mas altas. El grado de divisin de stas depende del nivel de seguridad que se requiera.

3
2. SISTEMAS DE CONTROL INTERNO. La divisin de responsabilidades y los sistemas de verificacin interna (las comprobaciones
de que la recoleccin de datos es completa y precisa y que se trabaja de acuerdo a la divisin de responsabilidades y jerarqua)
se combinan para formar el sistema de control interno.
La verificacin documentada de evidencias requiere que:
a. Las modificaciones de los programas se autoricen y prueben adecuadamente.
b. Se documente los sistemas nuevos y se prueben antes de la entrega para la produccin.
c. Los departamentos originadores documenten y verifiquen los datos de los archivos.
d. Los datos de entrada se agrupen contra impresos que sean editados.
e. Se documenten los errores y se autoricen y comparen las correcciones de los mismos con el material impreso.
Los auditores internos y externos deben:
* Revisar la divisin de responsabilidades y los procedimientos para garantizar que estn correctos.
* Realizar pruebas que garanticen el cumplimiento de los procedimientos o sistemas de control interno predeterminados.
3. ASIGNACIN DE RESPONSABILIDAD EN CUANTO A LA SEGURIDAD. En la descripcin de las labores, tanto de la gerencia
comercial como la de computacin, es importante especificar esta responsabilidad. La seguridad es un rea clave de resultados o
de accin. En la gerencia, las responsabilidades se determinan segn las polticas; conforme desciende la jerarqua las
responsabilidades son mas operativas y detalladas.
4. SUSTITUCIN DEL PERSONAL CLAVE. Un elemento que es esencial para la seguridad en computacin consiste en garantizar que
todo el personal clave tenga una sustitucin adecuada.

CAPITULO 4.
SEGURIDAD FSICA Y CONTRA INCENDIOS



4
CAPITULO 5.
POLTICAS HACIA EL PERSONAL
POLTICAS DE CONTRATACIN
En trminos de seguridad, las caractersticas mas importantes de una poltica de contrtacin son:
* Verificacin de referencias y antecedentes de seguridad. Se debe compilar una lista de verificacin detallada del solicitante, las
verificaciones muy pocas veces pueden ser exhaustivas. Las compaas de seguros pueden ayudar para la verificacin de
referencias. En las instalaciones de alta seguridad se obtienen los antecedentes de los agentes de seguridad.
* Pruebas psicolgicas. Esto constituye un refuerzo potencial. stas no solo evalan las aptitudes, sino tambin las actitudes, valores
sociales, opiniones polticas y estabilidad general.
* Exmenes mdicos. Evalan no solo el estado fsico, sino tambin las actitudes y la estabilidad potencial del contratado (la
habilidad de manejar el stress, por ejemplo). Algunas empresas han adoptado en sus polticas realizar exmenes mdicos
semestrales o anuales para sus empleados.
PROCEDIMIENTOS PARA EVALUAR EL DESEMPEO
Aunque las actividades de procedimientos para evaluar el desempeo estn destinadas a valorar la efectividad de los aspectos
administrativos y de trabajo, estas tambin colaboran con la efectividad de la seguridad. La evaluacin del desempeo puede servir de
igual manera para evaluar las actitudes hacia el trabajo y los sentimientos generales hacia la institucin. Esta etapa puede identificar y
ayudar al personal con problemas personales o de actitud.
POLTICAS SOBRE PERMISOS
El personal de cmputo es de inteligencia y preparacin superiores al promedio, con frecuencia son personas muy sensibles y se
han notado la incidencia de crisis nerviosas, es por eso que la reglamentacin de permisos es importante para asegurar que el personal
expuesto al stress descanse peridicamente de manera apropiada.
ROTACIN DE PUESTOS
La rotacin de puestos es recomendable en los niveles de responsabilidad medio y bajo, donde no solo un individduo tiene acceso
a las actividades de un frente muy amplio, como en un ambiente de alta seguridad.
EVALUACIN DE LAS ACTITUDES DEL PERSONAL.
La posibilidad de que surjan fisuras en la seguridad debido a accidentes o ataques deliberados es mas alta en un ambiente
donde la motivacin es baja. El uso de encuestas sobre actitudes puede ser un instrumento valioso para el seguiemiento de rutina en esta
aspecto de la poltica hacia el personal.

CAPITULO 6
LOS SEGUROS
PROBLEMAS TRADICIONALES
Existen dos problemas principales en cuanto a la contratacin de seguros:
* La existencia de vaco en la comunicacin; en general, los aseguradores saben mucho sobre riesgos comerciales pero muy poco
acerca de computadoras, mientras el personal sabe mucho sobre computadoras pero muy poco sobre seguros.
* Falta de entendimiento respectos a los riesgos y sus consecuencias, ya que las reclamaciones sobre seguros computacionales han
sido pocos.
El resultado de estos problemas es muy pocos usuarios de computadoras gozan de una cobertura de seguros adecuada para
todos los riesgos. Para tener una cobertura de seguro adecuada es importante tomar en cuenta:
* Las reas de riesgo asegurables.
* Los servicios de seguros especializados.
* El cambio del tipo de riesgo.
REAS DE RIESGO ASEGURABLES
* Ambiente. Los riesgos pueden ser externos:
o Explosivos y el material o los procesos inflamables.
o Atmosferas txicas, calientes, con gas, polvo o abrasivos.
o Riesgos de inundacin en las reas bajas.
Los riesgos internos surgen del mal funcionamiento de los servicios de los que depende la computadora:
o Fuentes de energa.
o Equipos de aire acondicionado.
o Detectores de fuego, calor o humo; aparatos que emanan dixido de carbono o gas y los que lanzan agua.
o Aparatos que contienen agua, como la calefaccin central o el sistema de drenaje.
o Errores del sistema o de los procedimientos de seguridad y el acceso no autorizado, que pueden causar daos o
interrupciones del servicio.
Todos estos riesgos generalmente se pueden cubrir con plizas convencionales.
* Equipo. El equipo abarca la totalidad de la instalacin de cmputo: edificio, mobiliario, aire acondicionado, equipo auxiliar,
fuentes de energa, cintas, tarjetas, papelera, etc. y la computadora en si. Esta ultima incluye todo tipo de procesamiento,
sistemas terminales y redes, por esto, es probable que se necesite mas de una pliza.

5
o Responsabilidad del seguro. En las instalaciones existen tanto equipos comprados como rentados. El rentado se debe
considerar a parte, pues el contrato con el arrendador establece, por lo general, previsiones especiales; el vendedor
posee su propio contrato de seguros, sin embargo se necesita examinar los contratos y aclarar la cobertura y los riesgos
a los que se considera expuesto el equipo. En el caso del equipo comprado, es importante que estos recursos se
aseguren por el valor de su reposicin y no de su costo, as los costos de reposicin se tienen que verificar
peridicamente.
o Riesgos por cubrir. Los principales riesgos por cubrir son:
Dao por causas externas (fuego, relmpagos, inundaciones, terremotos, rompimiento de caeras, dao por
impacto, disturbios, tumultos civiles, etc.).
Dao por causas internas. Muchos de estos aspectos no son asegurables como acciones deliberadas o de
negligencia por parte de los operadores, que causen daos al equipo; daos a consecuencia del paro
prolongado del funcionamiento de la planta del aire acondicionado.

* Programas y datos. Los programas incluyen: Sistemas operativos (por lo general, provistos por el fabricante de la computadora),
Programas de aplicacin (obtenidos por terceros), Programas desarrollados en la institucin, Programas operativos pertenecientes
a terceros que se encuentran a cargo del usuario. Los datos son los archivos maestros y de transacciones y los datos en su estado
original.
o Seguros contra prdida o daos. Por lo general, los trminos programa y datos no se mencionan en las plizas de
seguros (llamados registros comerciales), por lo tanto hay que cuidar un entendimiento correcto entre asegurado y
asegurador acerca del rango de medios por cubrir. Los registros de los sistemas de cmputo se deben asegurar:
Contra la prdida o el dao causado al medio.
Segn el costo de reposicin de la informacin registrada en ellos.
o Programas de computadora. Los riesgos relacionados con los programas pueden ser:
Extrados del edificio y extraviados.
Robados.
Ubicados en otras instalaciones que fueron daadas.
Daados en forma involuntaria o deliberada por terceros.
Los programas se pueden considerar como objetos y pueden ser asegurados como tales. La determinacin del valor se
puede calcular en base a:
Los costos de produccin del equipo.
Los costos de reproduccin del programa.
El valor comercial del programa.
* Interrupcin comercial y su recuperacin. El dao causado a una computadora se puede traducir la reduccin de su valor as como
la provocacin de incapacidad para realizar ciertas operaciones, lo que puede significar prdidas financieras. Estos riesgos se
deben cubrir con una pliza de interrupcin comercial o prdida de ganancias.
o Evaluacin de las consecuencias. Se debe abarcar:
Los costos que permanecen constantes aunque el negocio funcione a nivel reducido de actividad.
Los costos adicionales de trabajo para minimizar los efectos de la prdida en los ingresos.
La depreciacin del valor de los artculo perecederos.
Las multas por la entrega retardada.
La interrupcin en los sistemas de control que puede causar un desequilibrio en la produccin o en los niveles
de inventario.
La incapacidad de cobrar o recolectar las deudas importantes.
Las demoras en la aplicacin de los nuevos sistemas, lo que podra retardar la produccin de nuevas
mercancas o servicios.
La desorganizacin administrativa general con repercusin en las reas de comercio de la compaa.
o Efectos de la interrupcin sobre el costo. Ya identificados los riesgos se procede a la elaboracin de un anlisis
financiero con respecto a las opciones de acciones defensiva y los costos probables de cada una. Los dos elementos se
deben incorporar de manera especfica en tal cobertura de seguros:
El costo incrementado del trabajo solamente.
La prdida de ganancias o ingresos.
* El personal. La situacin de riesgo que deriva de la accin, actitud y circunstancia relacionadas con el personal se cubre con las
plizas existentes, sin embargo se debe revisar algunos aspectos especficos:
o Daos causados por el personal. Pueden ser accidentales, deliberados o producto de la negligencia. Los recursos y
programas deben estar especialmente cubiertos contra estos tipos de daos.
o Daos al personal. Pueden ser causados por:
Riesgos elctricos o mecnicos.
Riesgos que provienen de los dispositivos de proteccin, tales como los extinguidores de dixido de carbono.
Riesgos resultantes de condiciones de trabajo excepcionales.
Riesgos debidos a la falta de conocimiento del personal de cmputo o de otro tipo.
Para cubrir y minimizar estos riesgos se deben checar las plizas de los patrones y de responsabilidad pblica.
o Actos deshonestos del personal. El personal clave de cmputo debe estar cubierto por la pliza de garanta de
fidelidad a la empresa.

6
* Responsabilidades de terceras personas. La contratacin de terceras personas que usen el C. C. se debe revisar y documentar
apropiadamente para evitar los riesgos adicionales que estas pueden causar; se debe especificar especialmente en la cobertura
del seguro por prdida.
SERVICIOS DE SEGURO ESPECIALIZADOS
Estos servicios incluyen la dotacin de personal altamente capacitado en el manejo de computadoras y de los riesgos inherentes.
Varias compaas cuentan con plizas especializadas para usuarios de computadoras, estas compaas pueden resultar muy itles para la
evaluacin de los riesgos y plizas de seguros.
SEGUIMIENTO DE LOS CAMBIOS EN LOS RIESGOS
Se rene un comit de seguridad cuyos objetivos son:
1. Identificar y cuantificar los riesgos directos y consecuentes de la instalacin de cmputo en la empresa.
2. Garantizar que la cobertura se revise para tomar nota de los incrementos en los costos o en los precios de d reposicin.
3. Garantizar la existencia de los planes de contingencia adecuados, especialmente cuando no se puede obtener cobertura del
seguro.
4. Asegurar que la prdida consecuente se excluya de las responsabilidades de la institucin hacia terceras personas.
5. Obtener asesora y orientacin especializadas cuando se requiera.
El comit debe contar con representantes de las siguientes dependencias:
* La gerencia de procedimiento de datos.
* La compaa de seguros.
* Los gestores de seguros.
* El departamento de control secretarial o financiero.
* La auditora interna o externa.
Es posible asegurar la cobertura de riesgos esta claramente identificada y actualizada, por medio de las reuniones peridicas.

CAPITULO 7
SEGURIDAD DE LOS SISTEMAS







7
CAPITULO 8
SEGURIDAD DE LAS APLICACIONES
ALCANCE
Abarca tanto a los componentes de la computadora (datos, programas y archivos que se procesan en el sistema) como los que no
lo son (recoleccin y entrega de datos e informacin del archivo maestro para el procesamiento).
Las etapas clsicas de cada sistema implican:
* Iniciacin manual de los datos.
* Conversin de los datos a un formato aceptable por la computadora (captura de datos).
* Procesamiento.
* Distribucin de los resultados.
EL DEFECTO COMN: LA RELACIN ENTRE LA COMPUTADORA Y EL USUARIO
En muchas instalaciones se presta mucha atencin a los controles tanto en los departamentos de usuarios como en los de
computadoras. A pesar de ello, debido a que los controles los realizan distintas personas en cada rea, existen vacos respecto a los
contactos entre las dos reas. Un gran problema en todos los sistemas de cmputo es el del control de errores. Existen ciertos puntos clave:
* Todos los errores se deben corregir.
* Los errores solo se deben corregir por el personal autorizado.
* La divisin de la responsabilidad se debe mantener cuando se asigne la autoridad para la correccin de errores.
Otro punto importante dentro de la relacin hombre-mquina es la distribucin de los datos. La seguridad respecto a la
distribucin debe cubrir lo siguiente:
* La responsabilidad e identificacin del personal autorizado para el acceso a los informes.
* El control sobre los resultados tanto para las operaciones vlidas como las frustradas.
* El control sobre las que fueron copias carbn de los informes corregidos.
CONTROLES DEL USUARIO
El usuario tiene la responsabilidad de asegurar que los datos recolectados para el procesamiento estn completos y sean precisos,
as como todos los datos se procesen y se incluyan en los informes que le regresen.
CONTROLES DE PROCESAMIENTO DE LA COMPUTADORA Y SEGURIDAD DE LOS ARCHIVOS.
* Controles de procesamiento de la computadora. Son los controles que se encuentran dentro del sistema de cmputo y pueden ser:
o De procedimiento: Cuyo propsito es garantizar el procesamiento completo y preciso de los datos y archivos con el uso
de programas correctos e incluyen:
Divisin de la responsabilidad entre captura de datos y operacin.
Divisin de la responsabilidad entre operaciones y archivo.
Registro de evidencias que reflejan la transferencia de registros y datos entre las diferentes funciones.
Control sobre la precisin y distribucin de los resultados.
o Aritmticos: Son los que garantizan el procesamiento completo y preciso de todos los registros de datos, durante y al
final del procedimiento.
* Seguridad de los archivos. Este abarca:
o Almacenamiento de las copias de seguridad en un lugar distante. La ubicacin del almacenamiento de estos archivos
debe estar distante de la computadora. En el transporte de discos y cintas a lugares lejanos se deben tener mayores
medidas de seguridad y no debe hacerse por una sola persona.
o Identificacin y control de los archivos. Incluye la revisin fsisca de las etiquetas y los registros fsicos del movimiento de
tales archivo, as como las verificaciones de identificacin de los encabezados de los archivos que realiza la
programacin en forma rutinaria.
o Precisin de los archivos. Los estndares de la instalacin deben incorporar en los programas, controles detallados de
principio a fin y conteos de registros. Se debe incorporar el balance detallado registro por registro y/o los conteos
binarios. La verificacin e igualacin de estos conteos aritmticos se deben balancear con los controles manuales de
cada proceso que realizan la funcin de control.
o Acceso fsico a los archivos. Los operadores de cmputo no deben tener acceso rutinario al archivo de cintas, el cual
debe estar bajo control de otras personas quienes se encuentran adscritas a alguien que no realice funciones de
operacin.
REVISIN REGULAR DE LOS CONTROLES DE APLICACIN
Esta revisin es una tarea compleja y estricta que requiere de tiempo.









8
CAPITULO 9
ESTNDARES DE PROGRAMACIN Y OPERACIN DE SISTEMAS
Como ya se ha mencionado, las prcticas adecuados, y en especial el uso de tcnicas estructurales, mejoran automticamente el
nivel de seguridad en las aplicaciones. De esto se puede concluir que el aspecto fundamental no es la seguridad, sino el compromiso con los
buenos estndares de trabajo, lo cual todava es un punto a tratar en muchos C.C.
Los sistemas de seguridad necesitan verificarse en varios de los puntos del proceso de control de calidad. Existen dos grandes
razones para revisar los estndares como parte de la seguridad en computacin:
* La necesidad de poner atencin en la seguridad durante todas las etapas, preliminares y subsiguientes, del anlisis y del diseo.
* La exigencia de arreglos de respaldo adecuados, como la duplicacin de los sistemas, programacin y documentacin de
operaciones.
La consideracin de los estndares se divide en dos partes. Los sistemas y la programacin, y las operaciones.
SISTEMAS Y ESTNDARES DE PROGRAMACIN
La seguridad, a su vez debe considerarse en dos niveles:
1. Para la instalacin de un todo. Requiere una planificacin a largo plazo para garantizar que se tome en cuenta la seguridad en
la realizacin de las aplicaciones progresivas. Generalmente se requiere de grandes estudios que toman tiempo.
2. Las aplicaciones especificas. Tiene un significado a corto plazo.
* SEGURIDAD Y PLANEACIN COMPUTACIONAL A LARGO PLAZO.
La omisin de los aspectos de seguridad en la etapa de diseo acarrean revisiones mas costosas. Es, entonces, importante
incorporar objetivos y estndares de seguridad camo una parte integral de la actividad de planeacin computacional a largo plazo. Los
puntos clave a considerar son:
1. El impacto de la seguridad en computacin sobre la estrategia del equipo y los programas.
2. Las consideraciones de la seguridad de las terminales respecto a:
a. Los controles de la aplicacin.
b. Los requisitos fsicos y la ubicacin.
c. La estrategia de las redes, la seguridad y el respaldo.
3. Los estndares de control de la aplicacin, especialmente los de reinicio y de respaldo.
4. Los estndares de los datos y del diseo de archivos.
5. La funcin de las auditorias interna y externa y los requisitos durante las fases de diseo, aplicacin y operacin.
Los aspectos de seguridad deben ser considerados de manera rutinaria a travs del proceso de planeacin.
* GARANTA DE CALIDAD DE LA APLICACIN A CORTO PLAZO.
Dentro de este marco de plan computacional, se disean y llevan a cabo las aplicaciones individuales. Dentro de cada aplicacin,
hay aspectos que deben tener un seguimiento de rutina de nivel detallado. Los elementos principales a revisar son:
o Seguridad del equipo y los programas: Estos varas dependiendo de del tipo de aplicacin y los niveles de seguridad exigidos
por la institucin o por la instalacin de cmputo como un todo. En las fases de iniciacin, los objetivos de seguridad deben estar
definidos con claridad y deben incluir la consideracin de los datos de transacciones, los datos registrados en el archivo maestro y
la seguridad del programa. Si se utilizan terminales, hay que poner atencin en ella.
o Controles de la aplicacin: Las necesidades de control se incluyen en dos categoras:
Los controles del usuario.
Los controles detallados de cada proceso, de los datos y los archivos, por parte de las operaciones.
* SUPERVISIN Y MTODOS DE TRABAJO
En general, es cierto que la seguridad es buena cuando existe una gerencia efectiva. Esto se puede aplicar a las situaciones
donde existen estndares bien estructurados y definidos respecto al mtodo de trabajo. Los mtodos estructurados que incluyen
verificaciones regulares tambin facilitan la supervisin. Las principales consideraciones de seguridad como parte del proceso de diseo
son:
o Puntos de enlace claramente definidos; estos refuerzan la divisin de responsabilidades y mejoran el proceso de control de
calidad.
o Programas de prueba y conversin; la puesta en marcha de nuevas aplicaciones es un periodo de riesgo y se requieren
procedimientos bastante y controlados.
* DOCUMENTACIN
Se necesitan preocupaciones similares para las aplicaciones terminadas, las principales son:
o El almacenamiento de la documentacin para todas las aplicaciones en un lugar distante; se deben incorporar como rutina las
modificaciones por mantenimiento.
o El acceso a la documentacin se debe restringir al personal directamente relacionado con el proyecto y, en las instalaciones de
alta seguridad, quiz solo a mdulos de esa aplicacin.
OPERACIONES
La instalacin puede estar expuesta a un riesgo considerable debido a la ausencia de:
* Estndares adecuados para las actividades de operacin, incluyendo la preparacin de datos.
* Arreglos para el almacenamiento de la documentacin duplicada.
Los estndares de operacin deben incluir:
* Buenas practicas para el uso de las copias de seguridad de los programas, datos o archivos.
* Procedimientos de entrega para las aplicaciones nuevas.
* Etapas al establecer aplicaciones nuevas.


9
CAPITULO 10
FUNCIN DE LOS AUDITORES TANTO INTERNOS COMO EXTERNOS
FUNCIONES GENERALES DE LA AUDITORA
* Auditores externos. La responsabilidad del auditor externo se refiere a estatutos legales, por ejemplo, la legislacin bancaria o
de seguros. Algunas veces, mediante algn acuerdo, el auditor externo puede asumir un trabajo especial.
* Auditores internos. Sus actividades varan de una empresa a otra. Algunas veces, desempea funciones de alto nivel como informar
sobre la efectividad gerencial de la institucin; en otras, su funcin principal es verificar los sistemas y procedimientos y
encargarse de que se refuercen. El auditor interno es una forma de inspector interno, as, sus actividades abarcan:
o Participacin activa en el proceso de desarrollo, al garantizar la incorporacin de las medidas adecuadas de
seguridad y auditora y tambin al colaborar con las revisiones de los puntos de verificacin del proceso.
o Revisin de sistemas y controles de la aplicacin, tanto en los departamentos de usuarios como en los centros de
procesamiento computacional.
o Revisin de la poltica y los procedimientos d seguridad en computacin, y participacin activa en las pruebas contra
desastres.
o Introduccin de tcnicas avanzadas para la auditora de los sistemas computacionales complejos.
FUNCIONES Y SEGURIDAD DE LA AUDITORA EN COMPUTACIN
Para lograr una contribucin efectiva de la funcin de auditora a la seguridad computacional, se deben considerar cierto nmero
de aspectos importantes:
* El alcance de la auditora interna en la seguridad computacional.
* Una relacin clara entre los auditores externos y los internos.
* El papel de la auditora interna en la sociedad.
* El papel de la auditora interna en los sistemas en operacin.
* La instruccin y capacitacin para la auditora interna efectiva.

CAPITULO 11
PLANES Y SIMULACROS PARA LA RECUPERACIN EN CASO DE DESASTRES
TIPOS DE DESASTRE
* Destruccin completa de los recursos centralizados de procesamiento de datos.
* Destruccin parcial de los recursos centralizados de procesamiento de datos.
* Destruccin o mal funcionamiento de los recursos ambientales destinados al procesamiento centralizado de datos (energa, aire
acondicionado, etc.)
* Destruccin total o parcial de los recursos descentralizados de procesamiento de datos.
* Destruccin total o parcial de los procedimientos manuales del usuario, utilizados para la captura de la informacin de entrada
para los sistemas de cmputo.
* Perdida del personal de computo clave.
* Interrupcin por huelga.
ALCANCE DE LA PLANEACIN CONTRA DESASTRES
Abarca tanto las aplicaciones en proceso de desarrollo como las operativas. En las operativas existen reas que requieren
proteccin en caso de desastre y recursos para la recuperacin:
* Documentacin de los sistemas, la programacin y las operaciones.
* Recursos de procesamiento que incluyen:
* Todo tipo de equipo.
* Ambiente para el equipo.
* Datos y archivos.
* Programas.
* Papelera.
APLICACIONES EN EL PROCESO DE DESARROLLO
Tericamente, un desastre se puede presentar en cualquier etapa del desarrollo de una aplicacin. No obstante, segn la ley de
Murphy, el desastre tiende a suceder cuando la aplicacin est casi terminada pero la documentacin no esta completa.
En cada punto de verificacin o pausa del proyecto, es importante que se lleve a cabo una revisin cuidadosa a fin de asegurar
que existe una adecuada proteccin contra desastres. De esta forma, las consideraciones sobre seguridad y desastres se deben incorporar
como asuntos estndar en la verificacin de cada fase de trabajo.
Aun cuando se cuente con una excelente planeacin contra desastres, es aconsejable tener en mente que siempre se incurrir en
algunos gastos en caso de que suceda alguno.



10
APLICACIONES TERMINADAS
* Sistemas y programacin. Dentro de los estndares de seguridad de sistemas, programacin y operaciones, se deben considerar,
no solo la existencia de la documentacin que estos almacenan sino tambin las consecuencias que pueda traer la perdida de
esta.
* Operaciones de procesamiento. La planeacin contra desastres debe incluir las actividades y los procedimientos del usuario; si el
caso lo amerita, los recursos de transmisin y redes, el procesamiento centralizado y descentralizado y la redistribucin de los
resultados a los puntos de usuarios.
o Equipo. Incluye:
Equipo de terminales o de entrada de datos.
Equipo de procesamiento.
Equipo ambientas (aire acondicionado, energa, etc.)
Recursos de distribucin y arreglos incluyendo red y terminales.
Guillotinas, desintercaladoras y cortadoras.
o Datos y archivos. Se necesita contar con existencias de papelera de emergencia, las cuales se debern guardar en otro
lugar para evitar las dificultades que acarreara la destruccin del depsito central de papelera; esta incluye:
Datos fuente.
Documentacin de informes y resultados (facturas, recibos y balances).
o Procedimientos en caso de desastres. Cada aplicacin debe tener sus procedimientos por escrito, donde se diferencia
los tipos de desastres a los que estn expuestos. Los procedimientos deben especificar:
Las responsabilidades en caso de desastre y la organizacin que entrar en vigencia.
La accin inmediata que debe seguir.
+ Organizacin y responsabilidades para los procedimientos de recuperacin.
+ Clasificacin del tipo de desastre.
+ Evaluacin de los daos.
+ Determinacin de prioridades.
+ Informacin de la situacin a los usuarios y a la gerencia general.
+ Plan de accin para la recuperacin.
Planes de desastre muy detallados.
Adiestramiento a todo el personal.
Rutina de aplicacin de practicas para aumentar la seguridad.
SIMULACROS DE DESASTRES
Los simulacros de desastres son importantes por las siguientes razones:
* Se prueban la conciencia y preparacin del personal para afrontar el desastre.
* Se identifican las omisiones en los planes contra desastres.
* El elemento sorpresa de los simulacros constituye una verificacin para que estn vigentes las practicas de seguridad.
* Alcance de los simulacros de desastre. Los simulacros constituirn el desastre total o parcial; deben incluir procedimientos de los
usuarios y aspectos de computacin.
* Frecuencia de los simulacros de desastre. Los simulacros deben realizarse espordica y sorpresivamente. Necesitan de la
experiencia y se sugiere hacerlos en momentos relativamente convenientes. A pesar de que el realismo es importante, se deben
compilar planes muy cuidadosos para que estos no causen daos reales.
* Forma del simulacro de desastre. La prueba de desastre adquiere la forma de un desastre simulado:
o Se anuncia que un cierto tipo de desastre ha ocurrido
o El trabajo cesa temporalmente.
o Se debe completar un inventario de cualquier informacin que haya sido destruida durante el desastre.
o El trabajo recomienza.
* Anlisis del impacto. Se rene el siguiente inventario:
o Las aplicaciones en desarrollo.
o Las aplicaciones operativas, en proceso o no.
o La informacin perdida.
o El informe de la respuesta del personal.
o La cuantificacin de la perdida por la destruccin de informacin o la interrupcin del proceso.
o La efectividad de los procedimientos de recuperacin y respaldo, basados en informacin real.
o Anlisis de las debilidades detectadas durante el simulacro