Seguridad Física

La seguridad física abarca todas las medidas destinadas a la protección y salvaguarda de los bienes tangibles de los sistemas computacionales de una empresa.

Controles para la Seguridad Física

• Inventario detallado del hardware, mobiliario y equipo.
• Resguardo seguro del equipo de cómputo.
• Bitácoras de mantenimiento preventivo y correctivo.
• Controles de acceso del personal al área de sistemas.
• Control del mantenimiento de instalaciones y construcciones.
• Seguros y fianzas para el personal, equipos y sistemas.
• Contratos de actualización, asesoría y mantenimiento del hardware.

Seguridad del Personal

La seguridad del personal se refiere a la seguridad y protección de los operadores y demás personal que está en contacto directo con los sistemas.

Objetivo de la Auditoría de Seguridad del Personal

El objetivo principal de la auditoría de la seguridad del personal es evitar, hasta donde sea humanamente posible, los accidentes en el trabajo que constituyen los riesgos de trabajo.

Señales de Alerta en la Seguridad del Personal

• Implementar una política adecuada de vacaciones.
• Establecer políticas de rotación de personal.
• Evaluar la motivación del personal.
• Desarrollar planes de capacitación al personal (interna y/o externa).

Programas de Auditoría

Objetivos

• Determinar las formas en que se aplican las disposiciones legales para conservar y mejorar la salud de los trabajadores y evitar riesgos profesionales en el centro de trabajo.
• Prevenir los desperfectos que los riesgos de trabajo pueden ocasionar a instalaciones, equipos y materiales.
• Reducir los costos directos e indirectos ocasionados por riesgos de trabajo.
• Combatir los riesgos en su fuente de origen.

Políticas

• Hacer participar en la prevención de riesgos a todo el personal.
• Establecer sistemas permanentes de seguridad y vigilar de cerca su funcionamiento.

Técnicas y Herramientas de Auditoría Relacionadas con la Seguridad

• Permitir el manejo de los equipos de procesamiento únicamente al personal autorizado.
• Restringir la entrada al área de sistemas solo al personal autorizado y competente.
• Contratar personal que resida en zonas cercanas a la empresa.
• Acondicionar los locales de acuerdo con las normas de seguridad.
• Capacitar y adiestrar al personal respecto a los riesgos a los que se exponen y la manera de evitarlos.

Seguros

El seguro debe cubrir tanto daños causados por factores externos (terremotos, inundaciones, etc.) como por factores internos (daños por negligencia de los operadores, daños debidos al aire acondicionado, etc.).

Planes de Contingencia

Los planes de contingencia son esenciales para el control de las contingencias y riesgos que se pueden presentar en el área de sistemas. Estas contingencias se pueden mitigar a través de planes y programas preventivos específicos, en los que se detallan las actividades a realizar antes, durante y después de alguna contingencia.

Controles de Software de Seguridad General

Aplican para todos los tipos de software y recursos relacionados, y sirven para:

• Controlar el acceso a programas y a la instalación.
• Vigilar los cambios realizados.
• Controlar el acceso a programas y datos.

Controles de Software Específico

Se presentan algunos de los controles usados por los diferentes tipos de software específico:

• El acceso al sistema debe ser restringido para individuos no autorizados.
• Se debe controlar el acceso a los procesos y a las aplicaciones.
• Se limitará el acceso tanto a usuarios como a programadores.

Software de Sistemas Operativos

• Las contraseñas e identificadores deberán ser confidenciales.
• El acceso al software del sistema operativo deberá ser restringido.
• Los administradores de seguridad deberán ser los únicos con autoridad para modificar funciones del sistema.

Software Manejador de Base de Datos

• El acceso a los archivos de datos deberá ser restringido mediante una vista de datos lógica.
• Deberá controlarse el acceso al diccionario de datos.
• La base de datos debe ser segura.

Software de Librerías

• Debe tener la capacidad de comparar dos versiones de programas en código fuente y reportar las diferencias.
• Las versiones correctas de los programas de producción deben corresponder a los programas objeto.

Software de Telecomunicaciones

• Implementar controles de acceso a datos sensibles y recursos de la red.
• El acceso diario al sistema debe ser monitoreado y protegido.

Objetivo de la Auditoría de Software de Aplicación

• Verificar la presencia de procedimientos y controles para la instalación, operación, seguridad y administración del software.
• Detectar el grado de confiabilidad, satisfacción y desempeño.
• Investigar si existen políticas con relación al software.
• Detectar si existen controles de seguridad.

Actualización del Software de Aplicación

Tipos de Controles

• Control de distribución.
• Validación de datos.

Formas en que se Pueden Perder los Archivos

• Su presencia en ambiente distribuido.
• Manejo indebido por parte del operador.
• Mal funcionamiento de la máquina.
• Pueden estar registrados incorrectamente en el punto de entrada.
• Pueden haberse perdido al manejarlos.

Plan de Preservación

• Documentos fuente: Los documentos fuente deben ser retenidos intactos hasta el momento en que el archivo sea comprobado.
• Archivos de disco: Si el registro anterior es destruido, se debe producir automáticamente una copia en duplicado.
• Volcado a otros medios: Esto puede ser a otros discos o a papel de impresión.

Control de Distribución

La información de salida debe ser controlada, asegurando que sea distribuida a aquellas personas que necesitan los datos y no a aquellos que no están autorizados para recibirla.

Software de Control de Acceso

Este software está diseñado para emitir el manejo de control y acceso a los siguientes recursos:

• Programas de librerías.
• Archivos de datos.
• Programas de aplicación.
• Módulos de funciones.
• Utilerías.
• Diccionario de datos.
• Archivos.
• Programas.
• Comunicación.

Funciones del Software de Control de Acceso

• Definición de usuarios.
• Definición de las funciones del usuario después de acceder al sistema.

Software de Seguridad

El software de seguridad protege los recursos mediante la identificación de los usuarios autorizados con llaves de acceso, que son archivadas y guardadas por este software.

Ventajas del Software de Seguridad

La mayor ventaja del software de seguridad es la capacidad de proteger los recursos de accesos no autorizados, incluyendo los siguientes:

• Proceso en espera de modificación por un programa de aplicación.
• Acceso por los editores en línea.
• Acceso por utilerías de software.
• Acceso a archivos de las bases de datos.
• Acceso a terminales o estaciones no autorizadas.