Software

Auditoria de sistemas

SEGURIDAD

Hoy en día es necesario tener un mejor conocimiento en cuanto a la confianza e integridad, ya que se mantiene un nivel satisfactorio de seguridad y control sobre todas las personas que tienen acceso a la información.

Seguridad del área de sistemas

Para que un sistema se pueda definir como seguro debe tener estas cuatro características:
• Integridad: La información sólo puede ser modificada por quien está autorizado y de manera controlada.
• Confidencialidad: La información sólo debe ser legible para los autorizados.
• Disponibilidad: Debe estar disponible cuando se necesita.
• Irrefutabilidad (No repudio): La modificación de la información por parte de un usuario debe ser irrefutable, que el usuario no puede negar dicha acción.

Propuesta de PSNC-711

Llevar a cabo los procedimientos así como evaluar los atributos de acceso al sistema, los niveles de acceso, la administración de contraseñas, las funciones del administrador del acceso, las medidas preventivas o correctivas en caso de siniestros. Teniendo así una mejor seguridad en cuanto al sistema.

Seguridad física

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Las principales amenazas que se prevén en la seguridad física son:

• Desastres naturales, incendios accidentales tormentas e inundaciones.
• Amenazas ocasionadas por el hombre.
• Disturbios, sabotajes internos y externos deliberados.

Propuesta de PSNC-721

Se deben implementar planes adecuados para la protección de recursos computacionales y para el restablecimiento de servicios debido a interrupciones del departamento de información.

Seguridad lógica

Consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.

Los objetivos que se plantean serán:

• Restringir el acceso a los programas y archivos.
• Asegurar que los operadores puedan trabajar sin una supervisión minuciosa.
• Asegurar que se estén utilizados los datos, archivos y programas correctos.
• Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada.

Propuesta de PSNC-731

Realizar una aplicación de barreras y procedimientos que resguarden el acceso a los datos, teniendo una seguridad en el uso de software, sistemas, procesos, programas y sólo debe permitirse el acceso a las personas autorizadas para hacerlo.

Seguridad de las instalaciones eléctricas, de datos y de telecomunicaciones

Todo sistema deberá tener un sistema eléctrico polarizado más sus equipos protectores eléctricos, ya que puede haber empresas comerciales con equipos de computadoras que no cumplan con las normas eléctricas.
Los cambios constantes del fluido eléctrico en picos altos (voltajes altos o en picos bajos) dañan la computadora y el software.
La auditoria de la seguridad en este campo procura entonces evitar que las consecuencias de un problema no sean devastadores.

Propuesta de PSNC-741

Al instalarse equipos eléctricos, se debe dejar en lugares suficiente que permitan no solo el trabajo adecuado sino también el acceso a todas las partes del equipo, para su limpieza; además establecer una serie de medidas para la seguridad en los datos y en las telecomunicaciones.

Seguridad de la información, redes

El termino Seguridad de Información, Seguridad informática y garantía de la información son usados con frecuencia y su significado no es el mismo, persiguen una misma finalidad al proteger la Confidencialidad, Integridad y Disponibilidad de la información.

Aspectos que se deben considerar en la seguridad de las redes
• Hay que tener Políticas de Seguridad
• Planes de Recuperación y Continuidad en caso de Desastre (DRP y BCP)
• Sitios Alternos para funcionar y Respaldos de Información
• Sistemas de Detección de Intrusos

Propuesta de PSNC-751

Los procedimientos y las políticas pertinentes deben ser establecidos para asegurarse de la integridad de los datos contenidos en la base de datos.

Administración y control de las bases de datos

A medida que las bases de datos se vuelven cada vez más complejas, heterogéneas e integrales para el valor de negocio a largo plazo, es difícil diseñar y administrar bases de datos de alta calidad sin tecnologías de administración comprobadas y avanzadas.

Ventajas del uso de base de datos

• Se refuerza la estandarización
• Redundancia controlada
• Integridad
• Seguridad

Desventajas del uso de base de datos

• Complejo el recuperar los datos
• Tamaño
• Complejidad
• Costo

Propuesta de PSNC-761

Esto tiene relación con establecer políticas, procedimientos y responsabilidades de la base de datos, donde se maneja el control de los datos y los usuarios.

Seguridad del personal informático

Actitud Correcta

El respeto hacia los demás es fundamental. La puntualidad también es importante. Llegar tarde a una cita provoca en las personas el pensamiento de poca seriedad o valoración de su tiempo. Lo mismo ocurre cuando demoran las respuestas a las llamadas telefónicas recibidas.
Es fundamental asumir más responsabilidades.

El perfil ideal

Indudablemente no existe el trabajador ideal, por esto lo ideal es sólo una aproximación, un intento ante una realidad, y hay que adaptarse a las necesidades concretas de un puesto de trabajo en particular.

Propuesta de PSNC-771

Las oficinas de los servicios informáticos debe ser lo suficientemente importante como para permitirle cumplir los objetivos, así como promover la independencia del personal. Deben utilizarse las técnicas de seguridad para el personal, para promover una efectiva utilización de los mismos y facilitar la evaluación del desempeño en los servicios informáticos..