Se considera que la informaci�n es el patrimonio principal de toda Instituci�n,

Por lo que se deben aplicar medidas de seguridad para protegerla y estar preparados para afrontar contingencias y desastres de diversos tipos.

El centro de gravedad en la Auditoria de Sistemas es la �Seguridad de la informaci�n�

Pol�tica

Una pol�tica dentro de seguridad en computo, es semejante a un c�digo de conducta para la utilizaci�n adecuada de un sistema de computo.

Debe especificar las actividades que no son permitidas, los pasos a seguir para obtener la protecci�n adecuada as� como los pasos en caso de presentarse un incidente de seguridad, adem�s establece responsabilidades y derechos.

Es necesario que la instituci�n defina por escrito pol�ticas de seguridad,

Las pol�ticas de seguridad deben ser definidas por los funcionarios de alto nivel,

Como las normas de personal o de contrataci�n, las normas o pol�tica de seguridad constituyen un documento fundamental para una empresa que se apoye en computadoras.

Se ha de fijar la responsabilidad de cada nivel dentro de la organizaci�n respecto a las medidas de seguridad.

Definici�n de responsabilidades para la Seguridad de Datos, Sistemas y Programas.

Las responsabilidades espec�ficas para la protecci�n de los datos, sistemas, programas, unidades de equipo, etc. deben ser firmemente mantenidos si se desea una seguridad adecuada.

Los Auditores internos y el personal de seguridad deben revisar que se les d� una adecuada protecci�n a los datos. Debido a que ellos no tienen control f�sico sobre esto, no pueden tener la responsabilidad principal de su cuidado, pero s� del cumplimiento de las normas y procedimientos de seguridad.

SEGURIDAD F�SICA

Seg�n los informes estad�sticos el 70% de los ataques son generados por empleados descontentos con la organizaci�n para la que trabajan.

El personal relacionado con los sistemas inform�ticos es, en la mayor�a de los casos, quien mejor conoce c�mo funcionan y qu� debilidades tienen, adem�s de tener en su mente multitud de contrase�as vitales.

Los ataques podr�an realizarse, incluso, utilizando las propias estaciones de trabajo.

FINALIDAD DE LA SEGURIDAD F�SICA

El objetivo principal de las medidas de seguridad f�sica es proteger al personal que labora con material de c�mputo,

Establecer procedimientos para la protecci�n de los equipos e

Impedir el acceso de personal no autorizado a los ambientes en los que se ubiquen los dispositivos de c�mputo, de comunicaci�n de datos, l�neas de transmisi�n y medios de almacenamiento.

APLICACIONES DE LA SEGURIDAD F�SICA

Los puntos b�sicos que debe contemplar la seguridad f�sica son:

o   Construcci�n de instalaciones y sistemas de aire acondicionado.

o   Control de accesos.

o   Detecci�n de intrusos.

o   Sistemas contra incendios.

o   Sistemas para suministro ininterrumpido de energ�a el�ctrica.

o   Riesgo de inundaci�n

o   Vibraciones y terremotos

o   Tormentas el�ctricas

SEGURIDAD DE LA INFORMACION

Una plataforma requiere seguridad que sea lo suficientemente rigurosa para proteger la informaci�n crucial de un sabotaje, pero a la vez lo suficientemente flexible para que los usuarios autorizados puedan asignar diferentes niveles de acceso a documentos individuales.

Ladrones, manipuladores, saboteadores, esp�as, etc. reconocen que el centro de c�mputo de una instituci�n es su nervio central, que normalmente tiene informaci�n confidencial y que, a menudo, es vulnerable a cualquier ataque.

La seguridad de la informaci�n tiene dos aspectos.

1) negar el acceso a los datos a aquellas personas que no tengan derecho a ellos, al cual tambi�n se le puede llamar protecci�n de la privacidad, si se trata de datos personales, y mantenimiento de la seguridad en el caso de datos institucionales.

2) garantizar el acceso a todos los datos importantes a las personas que ejercen adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad de proteger los datos que se les ha confiado.

CONCEPTOS BASICOS DE SEGURIDAD EN LA INFORMACION

La clave para la seguridad en un sistema distribuido es la encriptaci�n.

El standard de industria para acceder a directorios esta basado en la tecnolog�a de encriptaci�n RSA de llaves p�blicas, reconocida como el �nico sistema de encriptaci�n que no tiene caracter�sticas que puedan comprometerla.

Utilizando la criptograf�a y otras facilidades de seguridad, podemos determinar cuatro niveles de seguridad: autenticaci�n, control de acceso, privacidad de nivel de campo  y firmas digitales.

Autenticaci�n

La autenticaci�n es la forma en que un usuario es identificado confiablemente.  La autenticaci�n se utiliza cada vez que un usuario o un servidor, o dos servidores se est�n comunicando mutuamente.

Control de acceso

Una lista de control de acceso (ACL) regula quien tiene acceso a cuales recursos y que tipos de acceso est�n permitidos (ej. Componer, leer, escribir, eliminar

Firmas digitales

Frecuentemente, los usuarios deben verificar que la informaci�n que reciben les fue realmente enviada por el promotor listado en el documento. 

Las firmas digitales garantizan a los usuarios que un mensaje dado est� enviado por el promotor que indica. 

Esta es una forma de autenticaci�n de usuario a usuario.

Riesgo

El riesgo es la posibilidad de que un intruso pueda tener �xito al tratar de acceder de manera ilegal una red

En general, los efectos producidos por acceso ilegal de un intruso se encuentran en los siguientes tres grupos:

• Efectos producidos por acceso a lectura.-  Leer o copiar informaci�n de las m�quinas de una red de manera il�cita.
• Efectos producidos por acceso a escritura.- Escribir o destruir datos pertenecientes a una red, incluyendo la inclusi�n de virus, puertas traseras, caballos de Troya, etc.
• Efectos producidos por la negaci�n de servicios.- Negaci�n del uso normal de los recursos por el consumo total de la capacidad de CPU de memoria.

Vulnerabilidad

Esencialmente significa la forma de cuan protegida esta la red de cualquier ataque externo para ganar acceso  ilegal  a ella, y de la forma de cuan protegida se encuentra de alguien dentro de la misma red.

Amenazas a un Sistema

�         Monitoreo, significa que el intruso simplemente lee la informaci�n.  Existen hoy d�a muchos productos tales como analizadores de LAN(red de �rea local), analizadores de red, analizadores de protocolo y analizadores de WAN (red de �rea extensa) que pueden obtenerse con un desembolso relativamente peque�o. 

�         Modificaci�n, significa que la informaci�n es manipulada en alguna forma durante la fase de transmisi�n.

�         Mensaje demorado, significa que la informaci�n es grabada y enviada con retraso, pudiendo el retraso ser perjudicial para el receptor.

• Repetici�n del mensaje, significa que la informaci�n es grabada por un intruso y enviada nuevamente m�s tarde.  La duplicaci�n de ciertos mensajes puede crear confusi�n y dar inicio a falsas acciones o medidas por parte del destinario del mensaje

Control de acceso a la Informaci�n

Se deber� considerar la existencia de :

Programas de Control. Deben existir programas protegidos que mantengan y controlen a los usuarios y sus derechos de acceso, ya sea por grupos o individualmente.

El uso de tal programa puede conferir al usuario algunos de los privilegios que corresponden al controlador de dichos programas..

Palabra de Acceso (Password). Es una palabra especial o c�digo que debe teclearse al sistema de computadora antes que se realice un proceso.

Constituye un procedimiento de seguridad que protege los programas y datos contra los usuarios no autorizados.

La identificaci�n de un individuo debe ser muy dif�cil de imitar y copiar. Deben de existir pol�ticas de seguridad al respecto.

El sistema de computaci�n debe cerrarse despu�s que un individuo no autorizado falle dos veces al intentar ingresar una clave de acceso.

Niveles de Acceso. Los programas de control de acceso deber�n identificar a los usuarios autorizados a usar determinados sistemas, con su correspondiente nivel de acceso. Las distinciones que existen en los niveles de acceso est�n referidos a la lectura o modificaci�n en sus diferentes formas.

De acuerdo a ello se tienen los siguientes niveles de acceso a la informaci�n:

�         Nivel de consulta de la informaci�n no restringida o reservada.

�         Nivel de mantenimiento de la informaci�n no restringida o reservada.

�         Nivel de consulta de la informaci�n incluyendo la restringida o reservada.

�         Nivel de mantenimiento de la informaci�n incluyendo la restringida.

Destrucci�n

Sin adecuadas medidas de seguridad las empresas pueden estar a merced no s�lo de la destrucci�n de la informaci�n sino tambi�n de la destrucci�n de su equipo inform�tico.

La destrucci�n del equipo puede darse por una serie de desastres como son: incendios, inundaciones, sismos, o posibles fallas el�ctricas, etc.

Cuando se pierden los datos y no hay disponibles copias de seguridad, se han de volver a crear los datos o trabajar sin ellos.

Para evitar da�os mayores al ser destruida la informaci�n, debe hacerse backups de la informaci�n vital para la empresa y almacenarse en lugares adecuadamente preparados para ese fin y de preferencia aparte del local donde se encuentran los equipos que usualmente lo manejan.

Por ejemplo: hay casos en los que, empleados que han sido recientemente despedidos o est�n enterados que ellos van a ser despedidos, han destruido o modificado archivos para su beneficio inmediato o futuro.

Nuestra mejor protecci�n contra la p�rdida de datos consiste en hacer copias de seguridad, almacenando copias actualizadas de todos los archivos valiosos en un lugar seguro.

Las empresas deben tener muy en cuenta los siguientes puntos para la protecci�n de sus datos de una posible contingencia.

1. Hacer de la copia de seguridad una pol�tica, no una opci�n.

2 . Hacer que la copia de seguridad resulte deseable.

3 . Facilitar la ejecuci�n de la copia de seguridad (equipos adecuados, disponibilidad, suministros).

4. Hacer la copia de seguridad obligatoria.

5 . Asegurarse de que los usuarios cumplen la pol�tica de copias de seguridad (Pol�tica de Auditor�a a las Copias de Seguridad).

REVELACI�N O INFIDENCIA

La revelaci�n o infidencia es otra forma que utilizan los malos empleados para su propio beneficio.

La informaci�n, que es de car�cter confidencial, es vendida a personas ajenas a la instituci�n.

Para tratar de evitar este tipo de problemas se debe tener en cuenta lo siguiente:

Control del uso de informaci�n en paquetes abiertos o cintas y otros datos residuales

La informaci�n puede ser conocida por personas no autorizadas, cuando se deja en paquetes abiertos o cintas que otras personas pueden usar.

Se deben tomar medidas para deshacerse del almacenaje secundario de informaci�n importante o negar el uso de �sta a aquellas personas que pueden usar mal los datos residuales de �stas.

Mantener datos sensitivos fuera del trayecto de la basura

El material de papel en la plataforma de la descarga de la basura puede ser una fuente altamente sensitiva de recompensa para aquellos que esperan el recojo de la basura. Los datos sensitivos deben ser apartados de este procedimiento para tener una mayor seguridad de protecci�n de la informaci�n, cuando �stos son descartados o eliminados, debiendo recurrirse a destructores o picadoras de papel.

Preparar procedimientos de control para la distribuci�n de informaci�n

Una manera de controlar la distribuci�n y posible diversificaci�n de informaci�n, es mantener un rastro de copias m�ltiples indicando confidencialidad o usando numeraci�n como "P�g. 1 de 9".

Determinar procedimientos para controlar los programas de aplicaci�n

Adicionalmente a proteger sus programas de Aplicaci�n como activos, es a menudo necesario establecer controles r�gidos sobre las modificaciones a los programas, para estar seguros de que los cambios no causan da�os accidentales o intencionados a los datos o a su uso no autorizado.