Evaluación de Seguridad Informática
La evaluación de seguridad está orientada a establecer mayores detalles técnicos de la seguridad de la infraestructura de una organización. Son menos formales y tienden a ofrecer mayor detalle y alcance que las auditorías.
El proceso de evaluación usualmente se lleva a cabo por un equipo de expertos en tecnología (generalmente con experiencia y trayectoria en este tipo de trabajos) bajo el auspicio de un comité ad-hoc conformado por personal de la organización, más que por auditores certificados. La evaluación es considerada un arte, en comparación con el enfoque estructurado que desarrollan los auditores. Al igual que las auditorías, las evaluaciones siempre están limitadas en su alcance. Sin embargo, tienden a ser lo suficientemente flexibles para abarcar detalles de bajo nivel.
La evaluación usualmente se encuentra enfocada a identificar los detalles técnicos de las debilidades de seguridad, que luego conforman las bases para las recomendaciones y correcciones en la infraestructura de la compañía.
Los resultados de una evaluación generalmente se presentan en un reporte informal detallado de los hallazgos, al comité ad-hoc como herramienta para las decisiones relacionadas con los planes y presupuestos de seguridad en la organización. Dentro de este documento se incluye el análisis de la infraestructura, detalles técnicos de bajo nivel, estrategias utilizadas para el análisis, los hallazgos más significativos identificados y las recomendaciones para efectuar las correcciones necesarias sobre la infraestructura.
Las principales amenazas que se prevén en la seguridad física son:
Ø Desastres naturales, incendios accidentales tormentas e inundaciones.
Ø Amenazas ocasionadas por el hombre.
Ø Disturbios, sabotajes internos y externos deliberados.
No hace falta recurrir a películas de espionaje para sacar ideas de cómo obtener la máxima seguridad en un sistema informático, además de que la solución sería extremadamente cara.
A veces basta recurrir al sentido común para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas áreas siguen siendo técnicas válidas en cualquier entorno.
A continuación se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.
Incendios
Inundaciones
Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial.
Esta es una de las causas de mayores desastres en centros de cómputos.Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior.
Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras.
Condiciones Climatológicas
Señales de Radar
La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiado desde hace varios años.
Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor.
Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana.
Instalaciones Eléctricas
Ergometría
Acciones Hostiles
Robo
Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero.
Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina.
La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora. El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro
Fraude
Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imágen, no se da ninguna publicidad a este tipo de situaciones.
Sabotaje
El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.
Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos.
Además, suciedad, partículas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas pueden ser cortadas, etc.
Control de Accesos
El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución.
Utilización de Guardias
Utilización de Detectores de Metales
El detector de metales es un elemento sumamente práctico para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de palpación manual. La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metálico mínimo, a partir del cual se activará la alarma. La utilización de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuará como elemento disuasivo. Utilización de Sistemas Biométricos
Seguridad con Animales
Sirven para grandes extensiones de terreno, y además tienen órganos sensitivos mucho más sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuyen considerablemente utilizando este tipo de sistema.
Así mismo, este sistema posee la desventaja de que los animales pueden ser engañados para lograr el acceso deseado.
SEGURIDAD LÓGICA Y CONFIDENCIAL
La seguridad lógica se encarga de los controles de acceso que están diseñados para salvaguardar la integridad de la información almacenada de una computadora, así como de controlar el mal uso de la información.
La seguridad lógica se encarga de controlar y salvaguardar la información generada por los sistemas, por el software de desarrollo y por los programas en aplicación. Identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especifico, de las redes y terminales.
La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a la organización: Cambio de los datos antes o cuando se le da entrada a la computadora.
Ø Copias de programas y /o información.
Ø Código oculto en un programa
Ø Entrada de virus
La seguridad lógica puede evitar una afectación de pérdida de registros, y ayuda a conocer el momento en que se produce un cambio o fraude en los sistemas.
Un método eficaz para proteger sistemas de computación es el software de control de acceso. Los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contraseña antes de permitirle el acceso a información confidencial. Sin embargo, los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computación, por lo que no es conveniente depender de esos paquetes por si solos para tener una seguridad adecuada.
El sistema integral de seguridad debe comprender:
Ø Elementos administrativos.
Ø Definición de una política de seguridad.
Ø Organización y división de responsabilidades.
Ø Seguridad lógica
Tipos de usuarios:
Ø Propietario. Es el dueño de la información, el responsable de ésta, y puede realizar cualquier función. Es responsable de la seguridad lógica, en cuanto puede realizar cualquier acción y puede autorizar a otros usuarios de acuerdo con el nivel que desee darles.
Ø Administrador. Sólo puede actualizar o modificar el software con la debida autorización, pero no puede modificar la información. Es responsable de la seguridad lógica y de la integridad de los datos.
Ø Usuario principal. Está autorizado por el propietario para hacer modificaciones, cambios, lectura y utilización de los datos, pero no puede dar autorización para que otros usuarios entren.
Ø Usuario de explotación. Puede leer la información y utilizarla para explotación de la misma, principalmente para hacer reportes de diferente índole.
Ø Usuario de auditoría. Puede utilizar la información y rastrearla dentro del sistema para fines de auditoría.
Los usuarios pueden ser múltiples, y pueden ser el resultado de la combinación de los antes señalados. Se recomienda que exista sólo un usuario propietario, y que el administrador sea una persona designada por la gerencia de informática.
Para conservar la integridad, confidencialidad y disponibilidad de los sistemas de información se debe tomar en cuenta lo siguiente:
La integridad es la responsabilidad de los individuos autorizados para modificar datos o programas o de los usuarios a los que se otorgan acceso a aplicaciones de sistema o funciones fuera de sus responsabilidades normales de trabajo.
La confidencialidad es responsabilidad de los individuos autorizados para consultar o para bajar archivos importantes para microcomputadoras. La responsabilidad es responsabilidad de individuos autorizados para alterar los parámetros de control de acceso al sistema operativo, al sistema operativo, al sistema manejador de base de datos, al monitoreo de teleproceso o al software de telecomunicaciones.
No hay comentarios:
Publicar un comentario