| Revisión
de Seguridad. El objetivo de esta
revisión es analizar y evaluar los controles
diseñados para salvaguardar las
instalaciones del centro de procesamiento de
datos de eventos accidentales, intencionales
o naturales que puedan causar daños, pérdidas
de información o destrucción, la revisión
de estos controles están relacionados con el
acceso lógico y acceso físico y con el
ambiente en los centros de información. Se
debe tener en cuenta que la filosofía de la
seguridad, esta basada en "saber quien
es" para "saber que puede hacer"
a)
Controles de acceso lógico:
Se usan para
limitar el uso de las aplicaciones de los
computadores, algunos ejemplos son: Login y
passwords, estos sirven para identificar el
usuario y por lo tanto con este dato el
sistema, otorgará niveles de acceso en las
aplicaciones, es decir niveles como los
siguientes: solo lectura, lectura modificación,
creación, eliminación de registros,
ejecutar, copiar, etc. Acceso a los sistemas
utilizando tecnología biométrica, basados
en la voz, retina, huella digital, etc.
Procedimientos de Dial-Back, que consiste en
la identificación del usuario a través de
su número de línea y luego verificando si
este número de línea esta autorizado.
b)
Controles de acceso Físico:
Se usan
generalmente para el resguardo del centro de
computo, o centros importantes de
procesamiento de datos son muy variados, he
aquí unos ejemplos: Seguros en las puertas,
puertas con combinación, doble puerta, etc.
Puertas electrónicas, con tarjetas, digitación
de código, con alarma silenciosa, etc.
Puertas con sistema biométrico basados en la
voz, retina, huella digital, etc. Acceso
controlado con fotocheks, guardias de
seguridad, etc. Escoltas para visitas. Omisión
de letreros que indiquen las zonas del centro
de procesamiento de datos. Llaves en los
terminales, etc.
c)
Controles del ambiente:
Detectan
peligros dentro del centro de cómputo,
ejemplos: Detectores de agua. Extintores de
mano. Alarmas manuales. Detectores de humo.
Sistemas para apagar incendios, de Halón, de
Agua Locación estratégica 3er, 4to, 5to o 6to
piso. Inspecciones regulares de medidas
contra incendios. Uso adecuado de fusibles,
relays, etc. UPS o fuente de alimentación
continua. Swicth de apagado de emergencia.
d)
Labor de auditoría:
Consiste en
la identificación del ambiente de
procesamiento de información para tener
conocimiento general de este y para entender
las necesidades de seguridad, el auditor de
sistemas revisa y evalúa los siguientes
aspectos:
- Revisión
de los diagramas de red: estos
diagramas muestran los puntos de
conexión entre computadoras,
terminales y equipos periféricos
como módem, Hubs, Routhers, etc.
Esta información es importante
porque se pueden enlazar las
direcciones físicas con los accesos
lógicos de terminales, actualmente
existe software especializado de
administración de redes que proveen
esta información.
- Revisión
de las rutas de acceso: Las rutas de
acceso son caminos de lógicos de
acceso a información computarizada,
estas empiezan generalmente con un
terminal y terminan con los datos
accesados. A lo largo de este camino
existen componentes de hardware y
software. Conocer esta ruta es
importante porque permite al auditor
de sistemas, determinar puntos de
seguridad física y lógica, la
secuencia típica de estos caminos lógicos
es:
- Terminales:
Son usados por el usuario final
para identificarse, estos deben
tener restricción física de su
uso y la identificación de los
usuarios o "login" de
accesos debe ser controlada con
los "passwords" o
claves.
- El
software de telecomunicaciones:
El software de telecomunicaciones
es usado para dar o limitar el
acceso a aplicaciones o datos
específicos.
- El
software de procesamiento de
transacciones: Este software
utiliza la identificación del
usuario realizada en los
terminales (User-Id) y asigna
niveles y posibilidades de
transacción (añadir, modificar,
eliminar, obtener reportes, etc.)
en una aplicación determinada
basado en archivos o tablas de
usuario definidas y solo
disponibles al administrador de
seguridad.
- El
software de aplicación: El
software de aplicación tiene la
lógica del procesamiento de los
datos definida, esta lógica debe
permanecer según las necesidades
determinadas por la gerencia,
para esto se debe proteger el
acceso a los programas que
regulan la lógica de estos
procesos.
- El
software de administración de
base de datos: Por el medio del
cual se accesa directamente a la
información, este debe tener la
definición de los campos de
datos y su ejecución debe estar
restringido al personal de
administración de la base de
datos.
- Inspección
de las facilidades del procesamiento
de datos: Esta inspección sirve para
entender los controles físicos para
el personal, visitantes, controles de
seguridad del ambiente como
extintores, detectores de humo,
protectores de polvo, control de
temperatura, fuentes alternativas de
energía. Esta revisión debe ser
hecha en el centro de cómputo, área
de programadores, librería de cintas
o cassettes, almacenes de útiles,
etc.
- Entrevistas
con personal de sistemas: Las
entrevistas claves, generalmente son
con el administrador de la Red, el
gerente de sistemas, quienes proveerán
de información sobre el control y
mantenimiento de los componentes de
las rutas de acceso.
- Entrevista
con el usuario final: Se entrevista
una muestra de usuarios finales para
conocer las políticas respecto a la
confidencialidad de los datos que
trabajan.
- Revisión
de políticas y procedimientos.
Consiste en revisar las políticas y
procedimientos para verificar si son
adecuados y ofrecen la seguridad
apropiada, para esto el auditor debe
verificar: Políticas de acceso físico
Políticas de acceso lógico
Entrenamiento formal sobre
precauciones de seguridad. Políticas
sobre uso de internet
|