NORMAS DE CONTROL

EN EL MARCO DE LA 9° de informática

SEGURIDAD
COMPUTACIONAL.
Auditoria informática Miguel Angel López Orozco
2.Normas de control en el marco de la seguridad
computacional.

En una organización la gestión de seguridad puede tornarse compleja y

difícil de realizar, esto no por razones técnicas, más bien por razones

organizativas, coordinar todos los esfuerzos encaminados para asegurar un

entorno informático institucional, mediante la simple administración de

recurso humano y tecnológico, sin un adecuado control que integre los

esfuerzos y conocimiento humano con las técnicas depuradas de

mecanismos automatizados, tomar· en la mayoría de los casos un ambiente

inimaginablemente desordenado y confuso, para ello es necesario emplear

mecanismos reguladores de las funciones y actividades desarrolladas por

cada uno de los empleados de la corporación.

2.1 Tipos de controles en la seguridad computacional

Todo sistema de seguridad informática contiene un conjunto de partes que deben

funcionar de manera correcta, para así evitar contratiempos y amenazas que
podrían poner en riesgo el funcionamiento y patrimonio de una empresa.

Es por ello que el mundo de la tecnología ha dado pie a la existencia y desarrollo

de herramientas idóneas para el control de acceso de seguridad informática, las
cuales facilitan el trabajo y las actividades corporativas.

Los controles de acceso funcionan como una suerte de compuerta capaz de filtrar
quién entra a un sistema informático y quién no, valiéndose de permisos, códigos o
contraseñas, que identifican de manera efectiva a un usuario o grupo de usuarios.
Por lo general, existen dos tipos de control de acceso de seguridad informática, que
son el control de acceso autónomo y el control de acceso en red, los cuales se usan
masivamente a nivel mundial

Utilidades de los controles de acceso

Los sistemas de control de acceso de seguridad informática resultan muy útiles para
autorizar o denegar el ingreso de un usuario, así como también para prevenir
fraudes al momento de identificar o autenticar a una persona que intenta ingresar al
sistema.

Por otro lado, los distintos tipos de control de acceso de seguridad informática
permiten que la empresa u organización administre los permisos de ingreso de los
usuarios, según su característica o prioridad.

Asimismo, los controles de acceso de seguridad informática resultan esenciales

para la determinación de responsabilidades y la auditoría que pueda hacerse ante
la ocurrencia de algún hecho inesperado o irregular.

Control de acceso autónomo

Los controles de acceso autónomo son mecanismos que permiten restringir o

administrar de manera segura el acceso físico a un espacio o instalación, como, por
ejemplo, una oficina, un ascensor, una caseta de vigilancia o un salón.

Este tipo de control de acceso de seguridad informática operan mediante la

introducción de una clave de acceso, una tarjeta magnética o incluso a través del
uso de patrones biométricos, como la lectura ocular, el reconocimiento facial o el
marcaje de la huella dactilar.

Por lo general, el control de acceso autónomo no registra eventos presentados,

aunque sí son capaces de almacenar diferentes datos como horarios de entrada y
salida, identificación de las personas que lo han utilizado y bloqueo programado por
horario.

Control de acceso en red

En el caso del control de acceso en red, este funciona de manera integrada por
medio de una PC o equipo informático de similares características, el cual puede
ser operado de manera local o también remota.

Para ello, debe contarse con un software de control, especialmente desarrollado

para llevar un registro efectivo y fidedigno de todas las incidencias que pueden
suscitarse, incluyendo fecha y horario de las mismas, además de la identificación
de cada usuario.

Este tipo de control de acceso de seguridad informática es uno de los más eficientes
y utilizados en la actualidad por empresas, para el resguardo de equipos e
instalaciones de diversa magnitud.

Beneficios de los sistemas de control de acceso de seguridad

informática

Los controles de acceso aplicados a la seguridad informática reportan numerosas

ventajas para sus usuarios, pues permiten prevenir y afrontar distintos riesgos que
pueden presentarse de manera imprevista.

Por ejemplo, una intrusión de individuos desconocidos puede evitarse al

implementar sistemas de control de acceso autónomos en los accesos de una
edificación o sector específico dentro de la misma.
De igual manera, los controles de acceso en red cuentan con la capacidad de
identificar una amenaza a los sistemas informáticos de una empresa, incluso
alcanzando a identificar a los responsables de la misma.

Resulta fundamental que los usuarios se encuentren capacitados de la mejor

manera posible acerca de la importancia y el funcionamiento de los distintos tipos
de control de acceso de seguridad informática, para que su aplicación sea mucho
más certera.

2.2 Clasificación de los controles de la seguridad

computacional.

Se dice que los controles son los mecanismos que se utilizan para poder controlar
los accesos y privilegios a los recursos indicados. El profesional de la seguridad es
quién realiza las sugerencias y decide qué tipo de controles se usaran. La facultad
de decidir cómo será el rol de la seguridad en la organización pertenece a la
administración.

Los controles se dividen en tres tipos: administrativos, técnicos y físicos. Los

controles administrativos son aquellos que están involucrados directamente con
procedimientos, políticas, estándares, entrenamiento, procedimientos de monitoreo
y control de cambios. Los controles técnicos están relacionados con el acceso
lógico, accesos de control, contraseñas, administración de recursos, métodos de
identificación o autorización, seguridad de dispositivos y configuraciones de red. Los
controles físicos, como su nombre lo dicen, se encargan de controlar el acceso físico
a los activos.

El gran crecimiento de las redes, interconexiones y telecomunicaciones en general,

incluido el uso de Internet de forma casi corriente, ha demostrado que la seguridad
física no lo es todo. Es un punto que debe complementarse necesariamente con la
implementación de controles para la seguridad lógica delos sistemas y
computadoras.

Es así como los controles de acceso pueden implementarse en el Sistema

Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete
específico de seguridad o en cualquier otro utilitario.

Constituyen una importante ayuda para proteger al sistema operativo de la red, al

sistema de aplicación y demás software de la utilización o modificaciones no
autorizadas; para mantener la integridad de la información y para resguardar la
información confidencial de accesos no autorizados.

El estándar de niveles de seguridad más utilizado internacionalmente es el TCSEC

Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en
computadoras del Departamento de Defensa de los Estados Unidos.

Podemos concluir mencionando que no solo tener personal encargado de la

seguridad nos asegura que nuestra información se encuentra segura, es importante
tener una correcta combinación, con personal, controles físicos y controles para
nuestro software, y siempre debemos pedir recomendaciones a profesionales.

2.3 El proceso de control en la seguridad computacional.

Este proceso se compone de 4 procesos básicos:
Referencias:
Descargas.pntic.mec.es. (2019). Normas ISO sobre gestión de seguridad de la información |
Seguridad Informática. [online] Available at:
http://descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/normas_iso_sobre_gestin_
de_seguridad_de_la_informacin.html [Accessed 14 Jun. 2019].

Descargas.pntic.mec.es. (2019). Normas ISO sobre gestión de seguridad de la información |

Seguridad Informática. [online] Available at:
http://descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/normas_iso_sobre_gestin_
de_seguridad_de_la_informacin.html [Accessed 14 Jun. 2019].

Ceupe, E. (2019). Listado de controles de seguridad. [online] Ceupe.com. Available at:

https://www.ceupe.com/blog/listado-de-controles-de-seguridad.html [Accessed 14 Jun. 2019].