You are on page 1of 3

Unidad 4.- Evaluación de la seguridad.

Introducción
La evaluación de riesgos de seguridad para los Recursos Informáticos se debe ejecutar al menos
una vez cada dos años. Todas las mejoras, actualizaciones, conversiones y cambios relativos
asociados con estos recursos deben ser precedidos por una evaluación del riesgo.
Cualquier brecha de seguridad o sospecha en la mala utilización en el Internet, la red corporativa o
Intranet, los recursos informáticos de cualquier nivel (local o corporativo) deberá ser comunicada por
el funcionario que la detecta, en forma inmediata y confidencial al Asesor de Seguridad Informática.

4.1 Generalidades de la seguridad del área física.


El objetivo es establecer políticas, procedimientos y prácticas para evitar las interrupciones
prolongadas del servicio de procesamiento de datos, información debido a contingencias como
incendio, inundaciones, huelgas, disturbios, sabotajes, etc. Y continuar en medio de emergencia
hasta que sea restaurado el servicio completo.

Se evaluaran las protecciones físicas de datos, programas instalaciones, equipos redes y soportes, y
por supuesto habrá que considerar a las personas, que estén protegidas y existan medidas de
evacuación, alarmas, salidas alternativas, así como que no estén expuestas a riesgos superiores a
los considerados admisibles en la entidad e incluso en el sector.

4.2 Seguridad lógica y confidencial.


La evaluación de la seguridad lógica del sistema, se refiere a la seguridad de uso del software, a la
protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los
usuarios a la información.
El objetivo de la auditoria de la seguridad lógica es verificar que cada usuario solo pude acceder a
los recursos que se le autorice el propietario, aunque sea de forma genérica, según su función, y con
las posibilidades que el propietario haya fijado: lectura, modificación, borrado, ejecución, traslado a
los sistemas lo que representaríamos en una matriz de accesos. En cuanto a autenticación, el
método más usado es la contraseña, Cuyas características serán acordes con las normas y
estándares de la entidad, que podrían contemplar diferencias para según qué sistemas en función de
la criticidad de los recursos accedidos.
Al auditar los sistemas se debe tener cuidado que no se tengan copias “piratas” o bien que, al
conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus.

Otro aspecto es el uso inadecuado de la computadora, este fenómeno comienza desde la utilización
de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de
comercialización sin reportar los derechos de autor hasta el acceso a bases de datos a fin de
modificar la información con propósitos fraudulentos.

Además se debe avaluar el nivel de riesgo que puede tener la información para poder hacer un
adecuado estudio costo/beneficio entre el costo por pérdida de información y el costo de un sistema
de seguridad

4.3 Seguridad personal.


Un bueno centro de cómputo depende, en gran medida, de la integridad, estabilidad y lealtad del
personal, por lo que al momento de reclutarlo es conveniente hacerle exámenes psicológicos y
médicos, y tener muy en cuenta sus antecedentes de trabajo.

Se debe considerar sus valores sociales y, en general, su estabilidad, ya que normalmente son
personas que trabajan bajo presión y con mucho estrés, por lo que importa mucho su actitud y
comportamiento.

El personal de informática debe tener desarrollado un alto sistema ético y de lealtad, pero la
profesión en algunas ocasiones cuenta con personas que subestiman los sistemas de control, por lo
que el auditor tiene que examinar no solamente el trabajo del personal de informática, si no la
veracidad y confiabilidad de los programas de procesamiento.

Evaluación de la seguridad del personal seguridad del personal puede ser enfocada desde dos
puntos de vista, la seguridad del personal al momento de trabajar con los sistemas informáticos,
estos deben estar en óptimas condiciones para que no causen daño a las personas, y la seguridad
de los sistemas informáticos con respecto al mal uso de los mismos por parte de los empleados.
Ambos puntos de vista deben se considerados al momento de diseñar un sistema de seguridad. Se
debe observar este punto con mucho cuidado, ya que hablamos de las personas que están ligadas al
sistema de información de forma directa y se deberá contemplar principalmente: La dependencia del
sistema a nivel operativo y técnico. Evaluación del grado de capacitación operativa y técnica.
Contemplar la cantidad de personas con acceso operativo y administrativo. Conocer la capacitación
del personal en situaciones de emergencia.

You might also like