Capitulo 5

Tpicos de Seguridad.
5.1 Organizacin de responsabilidades:
Personal:

El centro de cmputo se encuentra bajo la responsabilidad de dos personas:

Jefe del rea de Soporte Informtico:

Es la persona encargada del Sistema de Informacin que sirve de interfaz para la comunicacin entre las reas, tambin se encarga de brindar las actualizaciones y mantenimiento necesario al mismo. Tambin es

responsable de que los equipos se conecten sin problemas a la base de datos de la empresa.
Tcnico Informtico:

Es la persona que se encarga de brindar soporte tcnico a los equipos de cmputo, en hardware y software, as como tambin de verificar que los medios de la red y el sistema elctrico se encuentren en buenas condiciones. Reclutamiento y Valoracin del Personal:

Los requerimientos mnimos considerados para la incorporacin de personal son:

Cargo

Capacidades

Responsabilidad

Instruccin con grado superior Encargado del Sistema de Jefatura del rea de Soporte Informtico especializada en Sistemas Informtica. Encargado de brindar las Gran capacidad de liderazgo y responsabilidad. actualizaciones y e Informacin

mantenimiento necesario al

mismo. Capacidad de manejar conflictos tcnicos y/o personales.

Conocimiento del flujo productivo en sectores textiles. Instruccin tcnica o superior especializada en Informtica Computacin. Conocimiento en el manejo de redes de computadoras. Tcnico Informtico Capacidad de y Encargado soporte de brindar a los

tcnico

equipos de cmputo, en hardware y software

liderazgo, Verificar que los medios de la red y el sistema elctrico se encuentren en buenas condiciones.

responsabilidad y pro actividad en las actividades.

Capacidad de manejar conflictos tcnicos y/o personales.

5.2 Estrategias de seguridad fsica.

Seguridad fsica

Se

evaluarn

las

protecciones

fsicas

de

datos,

programas, habr que de

instalaciones,

equipos, redes y soportes,

y por supuesto

considerar a las personas: que estn protegidas y existan medidas evacuacin, expuestas entidad, alarmas, a riesgos salidas alternativas, superiores

as como que no estn admisibles en la

a los considerados

en una auditora de sistemas

de informacin

se preocupa

especialmente

por quienes estn (m el rea o de los daos que puedan

afectar a los usuarios de los sistemas si entra dentro de la auditora.

Las amenazas

pueden

ser muy diversas: distinto tipo, incendios,

sabotaje,

vandalismo, averas afectan

terrorismo, accidentes de

inundaciones, otros que

importantes, derrumbamientos, explosiones, as a las personas y pueden impactar

como

el funcionamiento

de los centros,

tales como errores, negligencias, huelgas, etc.

Desde la perspectiva considerar son:

de las protecciones

fsicas algunos

aspectos a

Ubicacin en general

del centro

de procesos,

de los servidores locales,

de cualquier elemento a proteger, como puedan ser los

propios terminales especial mente zonas de paso, de acceso pblico, o prximos a ventanas en plantas bajas. Proteccin de ordenadores porttiles, incluso fuera de las oficinas: aeropuertos, automviles, restaurantes.

Riesgos a los que estn expuestos, tanto por agentes externos, causales o no, como por accesos fsicos no controlados.

Amenaza de fuego, riesgos por agua: por accidentes atmosfricos o por averas en las conducciones; problemas en el suministro electrnico, tanto por cadas como por perturbaciones.

Controles tanto preventivos como de deteccin relacionada con los puntos anteriores, as como de acceso que se basen en la clasificacin de reas segn usuarios, incluso segn da de la semana y horario.

Adems del acceso en determinados edificios o reas debe controlarse el contenido de carteras, paquetes, bolsos o cajas, ya que podran contener explosivos, as como lo que se quiere sacar del edificio, para evitar sustituciones o sustraccin de equipos, componentes, soportes

magnticos, documentacin u otros activos.

El control deber afectar a las visitas y en caso ms estricto igualmente a los empleados; los ex empleados debern considerarse como visitas en todo caso

Proteccin

de

los

soportes

magnticos

en

cuanto

accesos,

almacenamiento y posible transporte, adems la proteccin no fsica, todo bajo un sistema de inventario, as como proteccin de documentos impresos y de cualquier tipo de documentacin clasificada.

Es fcil y barato obtener copias magnticas peridicas de datos y de programas frente al prejuicio que puede causar no haberlo hacho; es mucho ms difcil o caro, o no es posible, obtener copias con igual valor de otros objetos o activos obras de arte.

5.3 Estrategias de seguridad lgica.

Es necesario verificar que cada usuario solo pueda acceder a los recursos a los que le autorice el propietario, aunque sea de forma genrica, segn su funcin, y con las posibilidades que el propietario haya

fijado:lectura,modificacin,borrado,ejecucin,trasladando a los sistemas lo que se representara en una matriz de acceso en la que figuran los sujetos: grupos de usuarios o sistemas, los objetos que puedan ser accedidos con mayor o menor granuladidad:un disco, una aplicacin, una base de datos, una librera de programas, un tipo de transaccin, un programa, un tipo de campo, y para completar la tripleta, las posibilidades que se le

otorgan:lectura,modificacin,borrado o ejecucin. Desde el punto de vista de la auditoria es necesario revisar cmo se identifican y sobre todo autentican los usuarios, como han sido autorizados y por quien, y que ocurre cuando se producen transgresiones o intentos: quien se entera y cuando y que hace. En cuanto a autenticacin, hasta que se abaraten ms y generalicen los sistemas basados en la biomtrica, el mtodo ms usado es la contrasea, cuyas caractersticas sern acordes con las normas y estndares de la entidad, que podran contemplar diferencias para segn qu sistemas en funcin de la criticidad de los recursos accedidos. Algunos de los aspectos evaluar respecto de las contraseas pueden ser: Quien asigna la contrasea inicial y sucesivas. Longitud mnima y composicin de caracteres. Vigencia, incluso puede haberlas de un solo uso dependientes de una funcin de tiempo.

Numero de intentos que se permiten al usuario, e investigacin posterior de los fallidos, pueden ser errores del usuario o intentos de suplantacin. Si las contraseas estn cifradas y bajo qu sistema y sobre todo que no aparezcan en claro las pantallas, listados, mensajes de comunicaciones o corrientes de trabajos.

Proteccin o cambio de las contraseas iniciales que llegan en los sistemas, y que a menudo aparezcan en los propios manuales. Controles existentes para evitar y detectar caballos de Troya: en este contexto se trata de un programa residente en un PC que emulando un terminal simule el contenido de la pantalla que recoge la identificacin y contrasea del usuario, grabe la contrasea y devuelve control al sistema verdadero despus de algn mensaje simulado de error que normalmente no despertara las sospechas del usuario.

La no-cesin el uso individual y responsable de cada usuario a partir de la normativa. Siempre se ha dicho que la contrasea debe ser difcilmente imaginable por ajenos y fcilmente recordable por el propio usuario, y este ltimo aspecto se pone en peligro cuando un mismo usuario ha de identificarse ante distintos sistemas, para lo que puede asignar una misma contrasea, lo que supone una vulnerabilidad si la proteccin es desigual, por ser habitual que en pequeos sistemas vulnerables; si opta por asignar varias contraseas, puede que necesite anotarlas. La solucin ms adecuada por ahora puede consistir en utilizar sistema de identificacin nico (Single Sign-on) que facilite la administracin y el acceso, permitindolo o no a segn qu usuarios/sistemas/funciones, o bien adoptar cualquier otro tipo de solucin que, con garantas suficientes, pueda propagar las contraseas entre sistemas. En la auditoria debe verificarse que el proceso de altas d usuarios se realiza segn la normatividad en vigor, y que las autorizaciones requeridas son adecuadas, as como la gestin posterior como variaciones y bajas, y que los usuarios activos siguen vigentes, y si se revisa cuales son inactivos y por qu, por ejemplo contrastando peridicamente con la base de datos de empleados y contratados. Debera estar previsto bloquear a un usuario que no accediera en un periodo determinado 35 das?

Otra posible debilidad que debe considerarse en la auditoria es si pueden crearse situaciones de bloqueo porque solo existe un administrador, que pueda estar ausente de forma no prevista, por ejemplo, por haber sufrido un accidente, e impedirla creacin de nuevos usuarios en un sistema de administracin centralizada y nica. En ms de una ocasin, segn de que entorno se trate se recomienda la existencia de algn usuarios no asignado con perfil especial y contrasea protegida que pueda utilizar alguien con autoridad en caso de emergencia: todas sus operaciones debern quedar registradas para control y auditoria. Seguridad y el desarrollo de aplicaciones: Todos los desarrollos deben estar autorizados a distinto nivel segn la importancia a abordar, incluso autorizados por un comit si los costes o los riesgos superan unos umbrales; se revisara la participacin de usuarios, y de los auditores internos si la auditoria es externa, a que libreras pueden acceder los desarrolladores, si hay separacin suficiente de entornos, la metodologa seguida, ciclos de vida, gestin d los proyectos, consideraciones especiales respecto d aplicaciones que traten datos clasificados o que tengan transacciones econmicas o de riesgo especial, trminos de los contratos y cumplimiento, seleccin y uso d paquetes, realizacin de pruebas a distintos niveles y mantenimiento posterior, as como desarrollos de usuarios finales. El pase al entorno de explotacin real, debe estar controlado, no descartndose la revisin d programas por parte de tcnicas independientes, o bien por auditores preparados, a fin d determinar la ausencia de Caballo de Troya , bombas lgicas y similares, adems de la calidad. Otro aspecto es la proteccin de los programas, al menos desde dos perspectivos de los programas que sean propiedad de la entidad, realizados por el personal propio o contratado su desarrollo a terceros. Como el uso adecuado de aquellos programas de los que se tenga licencia de uso.