Professional Documents
Culture Documents
EQUIPO
Los programas de uso general, es decir, se excluyen los programas de aplicación
específica.
Las redes, o sea, las líneas y sistemas de comunicación de datos.
Las terminales y los programas generales directamente asociados.
Cada uno de estos aspectos se presentan ahora por separado. El área clave que se
debe considerar en cada caso es la existencia de debilidades o “puertas falsas” las
cuales exponen al sistema a la amenaza o al abuso por parte del especialista en
sistemas.
2º EQUIPO.
En general las “puertas falsas” en el equipo solo son relevantes en las instalaciones de alta
seguridad; ahí, hay que identificarlas y determinar la manera de asegurarlas. En muchos casos,
esto se logra por medio de barreras físicas.
Además que las necesidades especiales por parte de las instalaciones de alta seguridad,
existen otros riesgos generales en todas las plantas.
Por ejemplo, el interruptor que existe en ciertas unidades de cinta magnética, el cual permite
evadir la verificación de paridad. Estos interruptores se deben quitar o asegurar de manera
apropiada. Según el tipo de proveedor del equipo, pueden existir otras “puertas falsas”
similares que se deben cerrar.
Por último, existen ciertos malos manejos en la operación del equipo que crean el riesgo de
negligencia o accidente. Estos se deben definir e incluir en un manual práctico de operaciones
para el personal.
Donde sea posible, estas prácticas se deben vigilar en todo el equipo por medio de pruebas,
sorpresa u observación.
3ºLOS PROGRAMAS
“las puertas falsas” en los programas representan una amenaza sustancial y fundamental para
la seguridad del sistema. En la actuali8dad, gran parte de la programación es muy complicada y
solo muy pocas personas conocen todas las minucias de su diseño. En consecuencia, el
conocimiento que se requiere para someter abusos solo se encuentran en pocos empleados.
De manera simultánea con esta situación, se han desarrollado ciertas ayudas de programación
las cuales constituyen en si una amenaza para la seguridad. Un buen ejemplo de esto lo
encontramos en los programas de recuperación o interrogación, que puede proporcionar
información no autorizada sobre las estructuras de los programas o archivos o bien acceso a la
información privada de los archivos.
El nivel general de conocimiento acerca de “puertas falsas” entre las instituciones proveedoras
es bajo y puede ser necesario contar con la asesoría independiente para esta evaluación. Por
razones obvias, la cantidad de publicaciones, tanto de proveedores como de otros, es
prácticamente nula en esta área.
4º REDES
Este término pretende describir los sistemas de comunicación y los programas de manejo
asociados a estos. Así como en la programación esta constituye un área muy complicada
donde solo un pequeño grupo de especialistas manejan los conocimientos correspondientes.
El mayor riesgo reside en el acceso no autorizado a las redes, con el propósito de obtener
información confidencial al hacer uso indebido de las instalaciones de procesamiento. Se han
dado casos de ambos tipos de abuso en esta área. El más conocido fue el de la empresa Pacific
telephone, donde un especialista de computo logro tener acceso a un manual de operación de
redes y, mediante el empleo de este y su propia terminal, uso los recursos de computo de la
compañía para cometer fraude contra esta para obtener parte de su inventario y así manejar
su propio negocio.
El aspecto del acceso a información confidencial merece especial atención en las instalaciones
de alta seguridad. Como en el caso de la línea de teléfono no es muy difícil rastrear una línea
de transmisión.
5º TERMINALES.
Aunque recientemente los programas para la red y el computador principal para el control de
terminales han mejorado en forma notable, todavía no se conoce un sistema de seguridad de
terminales completamente eficaz. Así, resulta muy importante garantizar el máximo control en
las siguientes áreas:
Una parte esencial del sistema de seguridad es el análisis detallado del desempeño de los
sistemas. Existe el peligro de considerar los abusos más oscuros y complejos e ignorar
otros que son obvios, como trabajos o uso de tiempo no autorizados.
Los controles que se deben incorporar como parte del sistema de control interno, son:
7º RESUMEN
La seguridad de los sistemas constituye una parte muy técnica y compleja de la seguridad
en computación. Se requiere un enfoque metódico para identificar las “puertas falsas”,
definir controles discretos y garantizar que estos se llevan a cabo y se vigilan. Esta revisión
debe incluir el equipo y los programas del computador principal, de redes y de terminales.
El seguimiento del desempeño del computador central, las redes y las terminales es una
función administrativa y de seguridad importante. Se deben considerar cuidadosamente
los recursos disponibles de los programas existentes o sus modificaciones. Además se
requiere seguimiento e informes de todo intento de acceso indebido a los programas o
archivos