Auditoría de sistemas Unidad VII Seguridad en el área de operaciones

Auditoría de sistemas

Unidad VII

Seguridad en el área de operaciones

Introducción En este trabajo se pretenden cuidar los criterios de

la auditoría relacionados con la seguridad en el área de operaciones, para tener un mejor control con respecto a la información.

Se analizarán cuidadosamente los medios por los cuales los datos pueden sufrir daños perjudiciales, así como las señales de alerta en dicha área.

Objetivos y Criterios de seguridad

Es de vital importancia llevar un control de acceso a los recursos de cómputo; así como prever la seguridad física de los recursos de cómputo, para protegerlos contra cualquier uso no autorizado, el daño la pérdida o las modificaciones.

Para esto se deben asignar las responsabilidades para el control de acceso y seguridad en el área de operaciones.

Cuando sea necesario se debe nombrar un gerente de seguridad que informe a la gerencia general.


Debería también examinarse la responsabilidad para el control de acceso y la seguridad operacional, no obstante entrevistar al gerente de seguridad en caso de que exista.

Verificar si su comunicación con los demás empleados responsables de seguridad propicia la comprensión de las responsabilidades y si estas son congruentes con las manifestadas en los planes de seguridad de la organización.


Un punto clave en esta área de operación es la restricción de acceso al centro de cómputo sólo a personal autorizado, deberían revisarse los procedimientos de acceso al centro de cómputo

De esta forma asegurarse de que existan procedimientos que definen las restricciones del acceso al centro de cómputo.


cerciorarse de que los procedimientos están vigentes y evitar que las personas no autorizadas entren al centro de cómputo.

Observar, en diferentes ocasiones, si sólo el personal autorizado se encuentra en la sala de cómputo.


Se debe acompañar a cualquier persona que no sea del área de operaciones de cómputo cuando se encuentre en esa área.

Deberían revisarse los procedimientos relacionados con la escolta de personal ajeno al centro de cómputo, “Revisar los procedimientos para identificación continua del personal ajeno que se encuentre en las áreas de operación del centro de cómputo”.


El control de acceso a las terminales se debe programar específicamente las horas de operación del acceso a terminales conectadas que están manejando información confidencial, para esto se debe tomar en cuenta los procedimientos de ubicación y uso de las terminales.

En general, revisar las políticas para la ubicación de las terminales y de aquellas que pueden desplegar información confidencial de la organización, así como asegurarse de que la activación de terminales esté protegida por medio de claves de acceso, password, o por técnicas similares.


Otro aspecto a tomar en cuenta en el área de operaciones es que se deben registrar los accesos de la terminal a los datos y se deben revisar periódicamente los reportes de actividad de las terminales.


En un medio ambiente de acceso en línea debe existir una seguridad de acceso y un control basado en la clasificación de la información del archivo y de las llaves de acceso al software o las transacciones.

En el área de operaciones es común el que se efectúen prácticas adecuadas de seguridad tales como no identificar la ubicación de las instalaciones de sistemas de información,


Por eso es necesario visitar las instalaciones de sistemas de informaciones para asegurarse de la naturaleza de la instalación y de que no sea identificable fácilmente mediante señales o marcas revisando los directorios y otra documentación proporcionada por la organización.

Para asegurarse de que la ubicación de las instalaciones del sistema de información no se identifica fácilmente.

Para finalizar es recomendable probar periódicamente los planes de seguridad, evaluando la efectividad y la calidad de las pruebas de seguridad.

Señales de alerta en el área de operaciones.

Más que nada consiste en identificar los problemas que pueden presentarse y analizar las medidas que conduzcan a su total eliminación; para ello se tienen que evaluar los riesgos, hay que considerar entre otros factores el tipo de información almacenada, procesada y transmitida, entre otros factores.

Visto de otra manera, la auditoría de la seguridad consiste en revisar si se han considerado las amenazas, o bien evaluarlas si es el objetivo.

Y de todo tipo de errores y negligencias, desastres naturales, fallos de instalaciones o bien fraudes o delitos, y que puedan traducirse en daños a:• personas, datos, programas, redes, instalaciones, u otros

activos, y llegar a suponer un peor servicio a usuarios

internos y externos.


Se debe proteger los archivos de cómputo contra accidentes, destrucción y utilización por parte del personal no autorizado así como también revisarse los mecanismos de protección física contra la destrucción o mal uso de los archivos;

Para esto hay que tomar en cuenta lo siguiente:

Cuidar la condición de los archivos mediante un muestreo para determinar si han sido mal utilizados o maltratados.


Confirmar que el acceso físico a la biblioteca este completamente restringido.

Comprobar que los procedimientos especifiquen que se quiten los anillos para protección de archivos de todas las cintas de la biblioteca.


Cabe destacar que los documentos son de importancia por lo que también requieren de protección privada, confidencial, vigente y disponible para respaldo; en este punto también deberían revisarse las medidas de seguridad relacionadas con los documentos y las formas.


Se debe capacitar al personal de operaciones del centro de cómputo para la aplicación de controles y procedimientos de seguridad así como ratificar la conciencia del personal de operación en cuanto a medidas de seguridad como podrían ser:

verificar que los procedimientos operacionales para incendio, inundación y sistemas de alarma estén al alcance de todo el personal de operaciones.

asegurase de que el personal de operaciones está capacitado adecuadamente para utilizar los equipos contra incendio e inundación.


Todo esto que se ha comentado, es con la finalidad de evaluar los desastres que existen, ya que un centro de operaciones está expuesto a sufrir cualquier tipo de daños.

Debemos tomar en cuenta que las medidas deben considerarse como inversiones en seguridad, aunque en algunos casos los vemos en activos contables, ya que nos va a costar un poco de dinero invertir y asegurar nuestro centro de operaciones pero que a la larga nos vendrá beneficiando de diversas formas.


Técnicas y herramientas de auditoría

La protección no ha de basarse sólo en dispositivos y medios físicos, sino en formación e información adecuada al personal.

Otro de los riesgos que se han podido asumir de forma temporal, por estar en proceso de cambio; la seguridad no es un tema meramente técnico, aunque sean muy técnicas algunas de las medidas que haya que implantar.


Es necesaria la designación de propietarios de los activos, sobre todo de los datos y que son quienes pueden realizar la clasificación y autorizar las reglas de acceso; cuando se habla de la seguridad estamos hablando de tres aspectos:

• Confidencialidad• Integridad• Disponibilidad.


Confidencialidad, esto es cuando sólo las personas autorizadas pueden conocer los datos o la información correspondiente.

Integridad, consiste en que sólo los usuarios autorizados puedan variar (modificar o borrar) los datos.

Disponibilidad, se alcanza si las personas autorizadas pueden acceder a tiempo a la información a la que estén autorizadas.

Todo esto ya se hizo mención anteriormente como muestra de las anomalías que pueden surgir.

Programas de trabajo de auditoría

Los recursos del área de cómputo se deben utilizar de forma efectiva, mediante el mantenimiento de un programa de producción, en los cuales se debe llevar un control de las entradas y salidas, así como los archivos de datos en almacenamiento.

Es por ello que se puede llevar a cabo el programa de cargas de trabajo. Esta consiste en tener un uso eficiente de los recursos utilizados en las instalaciones o el área en cuestión, para ello se deben programar todas las tareas a realizar en el centro de cómputo o área en cuestión.


Estos programas o actividades programadas, se debe verificar si se han cumplido y si ha sido eficiente la solución de dichas actividades.

Este control puede llevarse a cabo por medio de una bitácora de actividades del área, la cual puede contener una lista de actividades calendarizadas con la fecha y hora de entrada y salida , el tiempo que tomo dicha actividad, los datos utilizados, entre otros.


Se debe llevar un control de todas las demás actividades y trabajos realizados a otras áreas, dicha lista debe contener si la documentación o el trabajo se atiende por orden de prioridad, tiempo en que se procesará la información y el responsable de procesar la información.

También se debe examinar el calendario de actividades que mantiene el centro de cómputo, en cuanto a las actividades y la distribución del trabajo en el área de trabajo.


Se debe tener en cuenta también si hay disponibilidad de equipo en el centro de procesamiento y si estos son suficientes para las cargas del trabajo que se tenga en el área.

Además se deben definir las características de los trabajos y si se han establecidos las prioridades de los trabajos y si se siguen estos lineamientos tanto para los trabajos internos del área o de otros departamentos, este control puede llevarse por medio de una bitácora.

También se deben evaluar y reportar los servicios u actividades que se han realizado y si estos se resolvieron de forma óptima.


PROGRAMA DE DISTRIBUCIÓN DEL PERSONAL Básicamente se refiere a la programación de los

recursos humanos o sea las personas que intervienen en el centro de cómputo, es decir las actividades que realizan y si son las adecuadas. Es por ello que se debe examinar detalladamente el organigrama vigente del centro de cómputo, para delimitar las actividades que le confieren a cada persona. Se debe determinar si la responsabilidad de cada área funcional esta asignada a una sola persona o más, ya que esto permite delegar responsabilidades al personal.


La o las personas responsables del área deben realizar un reporte ya sea semanal mensual o quincenal, reportando las actividades realizadas en el área.

Esto se realiza para tener un mejor control de las actividades realizadas y si se han cumplido con los objetivos establecidos, permitiendo evaluar el área de trabajo, es decir, si se ha podido sacar todo el trabajo de forma óptima y eficaz.


Se debe mantener actualizado el calendario de recursos humanos, lo cual ayudará a reflejar los resultados de las cargas de trabajo, licencias, vacaciones, comisiones etc.

También permite verificar si se cumplen con las obligaciones de cada persona o departamento en nuestro caso el centro de cómputo.


CALENDARIO DE MANTENIMIENTO

Este debe incluir el mantenimiento que se le da a los equipos ya sea por el personal que labora en el centro de cómputo o empresas o personas especializadas.

El mantenimiento de los equipos debe realizarse en periodos de tiempo específicos y siguiendo una calendarización en tiempo seis meses, dos meses, anual etc.


Deben revisarse los contratos de renta o compra de equipo, para verificar el vencimiento de garantías y así determinar el mantenimiento preventivo y la frecuencia con que éste debe hacerse.

Se debe realizar una lista de actividades o cargas de trabajo programadas y existentes, esto es para no crear conflictos entre el mantenimiento del equipo con las cargas de trabajo.


Confirmar si el calendario de producción del personal es flexible para permitir la desconexión del equipo para realizar el mantenimiento del equipo ya sea preventivo o correctivo.

Es por ello que es muy importante que no se programe el mantenimiento de equipo cuando hay grandes cargas de trabajo en el centro de cómputo.

Fases de la auditoría de seguridad

Estas fases pueden ser de carácter general e incluyen:• Los objetivos, la delimitación y el alcance de la

auditoría, así como también el tiempo que cubre la auditoría

• Un análisis de las fuentes de recopilación de información, este no necesariamente debe existir como en los casos de auditorias internas

• La comunicación a la entidad, el plan de trabajo y los recursos necesarios

Fases de la auditoría de seguridad

Adecuar cuestionarios según las necesidades y en algunos casos se necesitará de especialistas para realizar auditorías, para ellos se requieren los servicios de auditores externos, es decir empresas o personas que se dedican a realizar auditorias.

Realización de entrevistas y pruebas Informe definitivo de la auditoria, con sus respectivas

recomendaciones.

FinFin

Documents

Auditoría de sistemas Unidad VII Seguridad en el área de operaciones