viernes, 26 de febrero de 2010

ESTANDARIZACION Y CERTIFICACION EN SEGURIDAD INFORMATICA

ESTANDARIZACION Y CERTIFICACION EN SEGURIDAD INFORMATICA

Estándares de Seguridad

Propósito de los Estándares:

En general, los estándares cumplen hoy en día un importante papel en la sociedad y en desarrollo de muchas actividades empresariales, sobre todo a raíz de la implantación de las técnicas de gestión de la calidad y la homologación y certificación de productos en numerosos sectores.

Podemos considerar que en el caso concreto de los estándares de seguridad existen al menos tres razones que justifican su desarrollo e implantación:
  1. Suministrar normas de seguridad a los fabricantes de productos.
  2. Definir métricas de evaluación, de certificación y de acreditación
  3. Transmitir la confianza necesaria a los usuarios y consumidores
Propósito de los Estándares:

1.- Suministrar normas de seguridad a los fabricantes de productos:
Los estándares permiten establecer una serie de orientaciones para el desarrollo de nuevos producto. Para cumplir de forma adecuada con este principio, los fabricantes de productos certificados deben ofrecer una documentación exhaustiva sobre la seguridad de estos productos.

Propósito de los Estándares:

2. - Definir métricas de evaluación, de certificación y de acreditación: Aplicadas tanto a procesos como a técnicas de gestión y al desarrollo y comercialización de productos y servicios. Las evaluaciones y certificaciones no pueden ser realizadas por el mismo fabricante vendedor, sino que correspondería este papel a organismos independientes acreditados para llevar a cabo estas tareas.

Propósito de los Estándares

3. Transmitir la confianza necesaria a lo usuarios y consumidores:
De tal manera que los usuarios puedan comparar sus requerimientos específicos de seguridad frente a lo establecido en distintos estándares para poder determinar cual es el nivel de seguridad que necesitan, y en consecuencia, que características o atributos, deberían exigir a los productos o servicios que vayan a adquirir. Por otra parte, gracias a los estándares los usuarios y consumidores pueden más fácilmente cuándo un producto o servicio cumple una serie de requisitos.

Propósito de los Estándares:

Se suele hablar de criterios cuando nos referimos a unas escalas utilizadas para poder medir la seguridad de los sistemas y productos tecnológicos. Las metodologías definen cómo debe realizarse la evaluación de acuerdo con los criterios utilizados. Por su parte los esquemas nacionales e internacionales permiten establecer el marco y los procedimientos de actuación para la evaluación y certificación de la seguridad de los productos tecnológicos.

La evaluación consiste en el análisis de la capacidad de un determinado producto para proteger la información de acuerdo a unos criterios establecidos.

La evaluación se lleva a cabo siguiendo una determinada metodología y tiene por objeto determinar si el producto puede ser certificado. La credibilidad de este proceso dependerá de los métodos utilizados y del rigor y nivel de detalle del análisis del producto: ¿Qué aspectos de la seguridad se evalúan?, ¿Cómo se evalúan?, ¿Quién se encarga de llevar a cabo esta evaluación y que confianza nos merece?

La certificación es el proceso que permite determinar la capacidad de un determinado producto para proteger la información de acuerdo a unos criterios establecidos.

Mediante el proceso de certificación se puede confirmar de forma independientemente la validez de los resultados y conclusiones de la evaluación previa, y si esta evaluación se ha llevado a cabo de acuerdo con el procedimiento establecido.

De acuerdo con algunos expertos se pueden distinguir cuatro tipos de certificaciones:

  • Certificación de la Seguridad de las Tecnologías de la Información.
  • Certificación de la Seguridad Criptológica.
  • Certificación de la Seguridad Física.
  • Certificación de la Seguridad de Emanaciones Radioeléctricas (según la normativa TEMPEST).

La Acreditación permite valorar la capacidad de los sistemas informáticos para resistir, hasta un determinado nivel de confianza, accidentes o acciones maliciosas que puedan comprometer la confidencialidad, integridad, autenticidad y disponibilidad de la información que manejan.

Organismos responsables de la estandarización:

Los principales organismos responsables de la elaboración de estándares a nivel internacional son:
La Comisión Electrotécnica Internacional ( IEC ): responsable de la elaboración de normas sobre electrotecnia y electrónica.

La Organización Internacional de Normalización ( ISO ): responsable de la estandarización en el resto de los sectores de actividad. Tanto ISO como IEC comparten la responsabilidad de la elaboración de normas relativas a las Tecnologías de la Información y la Comunicación ( TICs ).


ORGANIZACIÓN INTERNACIONAL DE NORMALIZACION (ISO)

ES UNA FEDERACIÓN MUNDIAL DE ORGANISMOS DE NORMALIZACION DE 138 PAISES
MISIÓN
PROMOVER EL DESARROLLO DE LA NORMALIZACIÓN EN EL MUNDO Y DE LAS ACTIVIDADES CON ELLA RELACIONADAS, CON VISTAS A FACILITAR EL INTERCAMBIO INTERNACIONAL DE BIENES Y SERVICIOS Y DESARROLLAR LA COOPERACIÓN EN EL CAMPO DE LA ACTIVIDAD INTELECTUAL, CIENTÍFICA Y ECONÓMICA

A nivel europeo conviene destacar el papel de los siguientes:

  • El Comité Europeo de Normalización (CEN)
  • El Instituto Europeo de Normalización de las Telecomunicaciones (CENELEC)
  • La Asociación Española de Normalización y Certificación ( AENOR )

Estándares Estadounidenses:

Se presenta de forma resumida los principales estándares en materia de Gestión de la Seguridad de la Información que se han desarrollado en Estados Unidos:

TCSEC: Trusted Computer System Evaluation Criteria

Los ” Criterios de Evaluación de Sistemas de Confianza ”, fueron desarrollados en 1985 por el Centro de Seguridad Informática Nacional de Estados Unidos, un organismo dependiente de la Agencia de Seguridad (NSA) responsable de la fiabilidad de los sistemas informáticos del gobierno de los Estados Unidos.

También conocido como el “libro naranja”, por el color de las tapas de su publicación, y definen varias clases de sistemas en función de su nivel de seguridad: D, C1, C2, B1, B2, B3 y A.

Clase D (Sin Seguridad); se otorga a aquellos sistemas que no cumplen ninguna especificación de seguridad, es decir, no se dispone de protección para el hardware, el sistema operativo es inestable y no existe autenticación con respecto a los usuarios y sus derechos en el acceso a la información. Como ejemplos podríamos citar los sistemas operativos utilizados en los PCs


Clase C1 (Control de Acceso Discrecional); el sistema informático distingue varios tipos de usuarios, disponiendo además de mecanismos fiables de autenticación y de control de acceso a la información por parte de cada usuario. El administrador del sistema es un usuario especial con control total de acceso.

Clase C2 (Protección de Acceso Controlado); además de las características ya prevista para la clase o nivel C1, en estos sistemas se debe implementar un mecanismo de auditoria de accesos e intentos fallidos de acceso a los objetos protegidos. Poseen la capacidad de definir un mayor número y tipo de restricciones sobre los usuarios del sistema: que comandos y aplicaciones pueden ejecutar, limitación de acceso a determinados archivos o servicios. Como ejemplos podríamos citar los sistemas operativos Windows NT, Windows2000, UNIX, etc.


Clase B1 (Seguridad Etiquetada); estos sistemas soportan la seguridad multinivel, mediante la cual a cada objeto del sistema (ya sea este un usuario, dato, fichero u otro recurso) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas determinadas categorías (contabilidad, ventas, personal…) de modo que cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo, es decir se establecen controles para limitar la propagación o modificación de los permisos de acceso a los distintos objetos del sistema.

Clase B2 (Protección Estructurada); se aplica a los sistemas que permiten establecer una jerarquía de objetos a la hora de definir las etiquetas de seguridad, facilitando además la comunicación entre objetos de un novel superior con otros de un nivel inferior; el sistema será capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad han sido modificadas.

Clase B3 (Dominios de Seguridad); el sistema informático contempla la implantación de “Dominios de Seguridad”, reforzados mediante hardware especifico para facilitar la aplicación de las políticas de acceso que se hayan definido.

Clase A (Protección Verificada); se reserva para aquellos casos en los que se han utilizado métodos formales (técnicas matemáticas de verificación formal) en el proceso de diseño y verificación del sistema. El hardware y el Software son protegidos para evitar infiltraciones ante traslados de los equipos informáticos.

Federal Criteria

Se trata de una evolución de TCSEC presentada en el año 1992.

FISCAM: Federal Information System Controls Audit Manual

Estándar de auditoria y control de la seguridad de los Sistemas de Información Federales desarrollado de la Oficina de Contabilidad General de Estados Unidos.

NIST SP 800

Estándar para la certificación de sistemas basados en las Tecnologías de la Información, que ha sido desarrollados por el NIST (Instituto Nacional de estándares y Tecnología), un organismo que depende del Departamento de Comercio de Estados Unidos.

Estándares Europeos:

A nivel europeo podemos destacar los siguientes estándares y actuaciones destacadas en materia de Gestión de la Seguridad de la Información (propuestos en algunos casos como una evolución y adaptación de los estándares de estados Unidos):

ITSEC: Information Technology Security Evaluation Criteria
Los Criterios de Evaluación de la Seguridad de las Tecnologías de la Información fueron desarrollados conjuntamente por Francia, Alemania, Holanda y el Reino Unido en el año 1,991, tomando como referencia el trabajo llevado a cabo previamente por el estándar TCSEC en Estados Unidos.


ITSEM: Information Technology Security Evaluation Methodology
Se trata de la metodología de evaluación que se ha definido correspondiente a los criterios ITSEC.

Agencia Europea de Seguridad de la Información y las Redes

En Marzo del 2003 la Comisión Europea decidió crear la Agencia Europea de Seguridad de la Información y las Redes Informáticos (ENISA), con los siguientes objetivos:

Obtener un consenso en materia de seguridad informática en Europa que permita mantener permita mantener la disponibilidad y seguridad necesarias en las redes y sistemas de información de las distintas organizaciones.

Proveer asistencia para la aplicación de nuevas normativas en este campo.

Dirigir el desarrollo en estas materias.

Avisar y coordinar acerca de la información recopilada y analizada.

Dar soporte a la certificación y estandarización del mercado.

Facilitar el contacto con terceros países.

Estándares Internacionales:

Los principales estándares relacionados con la seguridad de la información y la certificación de los productos tecnológicos han sido desarrollados por la ISO y el IEC. Los estándares mas conocidos a nivel internacional son los siguientes:

ISO / IEC 13335: Guidelines for Management of Information Technologies Security (Directrices para la Gestión de la Seguridad)
Es un estándar que define un marco de referencia para las técnicas de gestión de riesgos y los criterios de selección de medidas de seguridad o salvaguardas en los sistemas y redes informáticas.

ISO / IEC 15408: Common Criteria, Criterios Comunes
Criterios Comunes para la evaluación de determinados productos de seguridad, facilitando de este modo el proceso de certificación de los noveles y servicios de seguridad que pueden proporcionar estos productos.

ISO / IEC 21827: Systems Security Engineering (Ingeniería de la Seguridad de los Sistemas)
Se ha propuesto para facilitar la evaluación del nivel de madurez de los procesos relacionados con la Gestión de la Seguridad de la Información.

ISO / IEC 17799 (BS-7799): Information Security Management (Gestión de la Seguridad de la Información)

Estándar que define un código de buenas practicas mediante un conjunto de controles que se pueden aplicar para mejorar la Gestión de la Seguridad de la Información en una organización.

ISO / IEC 27001: Information Security Management Systems Requirements (Requisitos para los Sistemas de Gestión de Seguridad de la Información)
Norma que permite certificar la implantación de un Sistema de Gestión de Seguridad de la Información en una organización.

ISM3: Information Security Management maturity Model (Modelo de madurez de la Gestión de la Seguridad de la Información)
Nuevo estándar que se estructura en distintos “niveles de madurez” para facilitar su implantación progresiva en las organizaciones, partiendo de los requerimientos básicos de seguridad del negocio o actividad que desarrollan.

COBIT: Information Systems Audit and Control Association (Asociación para el Control y la Auditoria de los Sistemas de Información)
Requerimientos de seguridad establecidos por la ISACA

RFC 2196: Internet Engineering Task Force (Grupo de Trabajo de Ingeniería de Internet)
Que constituye un Manual de Seguridad con una serie de directrices aplicables al desarrollo y explotación de un Website en Internet.

OCTAVE: Operationally Critical Threat, and Vulnerability Evaluation (Evaluación de Vulnerabilidades, Activos y Amenazas Criticas)
Se trata de una metodología propuesta para facilitar la evaluación y la gestión de los riesgos en una organización ( http://www.cert.org/octave/ ).

MAGERIT
Magerit, la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Publicas, fue desarrollada por el Ministerio de Administraciones Publicas y publicada en 1997.

Los objetivos de MAGERIT son cuatro:

  1. Concienciar a los responsables de los Sistemas de Información de la existencia de riesgos y necesidades de adoptar las medidas para limitar su impacto.
  2. Ofrecer un método sistemático para analizar tales riesgos.
  3. Planificar las medidas oportunas para mantener los riesgos identificados bajo control, y
  4. Facilitar los procesos de evaluación, auditoria, certificación o acreditación.

En el mes de Julio del 2005, el Consejo Superior d administración Electrónica hizo publica la versión 2 de MAGERIT.

Proceso de Certificación

El proceso de certificación debe ser realizado por una entidad independiente y competente capaz de determinar si un determinado SGSI (Sistema de Gestión de la Seguridad de la Información) es correcto, y lo confirma mediante el correspondiente certificado por escrito.
La certificación constituye un reconocimiento al trabajo bien hecho, una garantía de “calidad de la seguridad”, que aporta beneficios para la propia organización, sus clientes, inversores y empleados. Sin embargo, la adaptación a la norma no garantiza la inmunidad total de la organización frente a problemas de seguridad, pero permite reducir el riesgo.
La Seguridad Total No Existe

CERTIFICACIÓN
PROCEDIMIENTO POR EL CUAL UNA TERCERA PARTE ASEGURA POR ESCRITO QUE UN PRODUCTO, PROCESO O SERVICIO ES CONFORME CON LOS REQUISITOS ESPECIFICADOS

El proceso de certificación consta de dos grandes etapas:
La Consultoría:

Un equipo de consultores con experiencia en la norma ayuda a la organización a cumplir con los requisitos de certificación: Políticas de seguridad, procedimientos, selección e implantación de controles, etc. En esta etapa será necesario determinar las acciones correctivas (que eliminan la causa de las no conformidades en la implantación, operación y uso del SGSI) y las acciones preventivas (que permiten eliminar la causa de no conformidades potenciales, previniendo su ocurrencia).

La Auditoría:
Un organismo acreditado, en cada país, se encarga de revisar los distintos procesos y procedimientos de gestión de seguridad exigidos por la norma, así como de revisar la implantación de los distintos controles seleccionados. Una de las instituciones de referencia a nivel internacional en auditoria de los Sistemas de Información es ISACA (Information Systems Audit and Control Association – Asociación para el Control y la Auditoria de los Sistemas de Información).

Guía para la implantación de un Sistema de Gestión de Seguridad de la Información según la norma UNE 71502:2004

Esta guía esta compuesta por 10 etapas o fases necesarias para la implantación de un SGSI y su posterior certificación de acuerdo con la norma UNE 71502:2004, que puede servir de marco de referencia para una organización interesada en obtener dicha certificación:

Definición de las Políticas de Seguridad y del Alcance del SGSI.
Definición de las partes o áreas del negocio que van a ser auditadas bajo la norma.
Especificación del alcance del proyecto identificando los procesos de negocio, los recursos de información afectados, los recursos tecnológicos y organizativos, las personas clave y las relaciones con terceros.

Establecimiento de las Políticas de Seguridad: la Dirección General, junto con los empleados de los departamentos afectados en la implantación, debe definir y desarrollar una Política de seguridad de la Información dentro de la organización

Elaboración de un Documento de seguridad en el que se debe reflejar el compromiso de la Dirección, la definición de la seguridad de la información dentro de su organización, la descripción de los principios fundamentales del sistema de Gestión de Seguridad de la Información, la definición de las responsabilidades de los usuarios, la referencia al soporte documental y el cumplimiento con los requisitos legales y contractuales.

Definición de Responsabilidades y Asignación de Recursos.

Creación de un Comité de Seguridad que se encargara de la revisión y actualización de las Políticas de Seguridad de la Información. Este comité revisara el análisis de riesgos, partiendo de la identificación de los principales activos y recursos a proteger, de sus vulnerabilidades y de las posibles amenazas que les puedan afectar.

Así mismo se debería definir un responsable de la implantación del SGSI, con la misión de apoyar al Comité de Seguridad, dirigir y mantener el SGSI, trabajar con los procesos y departamentos directamente implicados en el SGSI (actuando de interlocutor con los responsables de los activos identificados y de la correcta implantación del sistema en su proceso o área de negocio) y llevar a cabo las auditorias internas que permitan controlar la adecuada implantación del SGSI.

Identificación y Registro de Activos.
Identificación y descripción de todos los activos contemplados dentro del alcance del SGSI, así como de quienes son los responsables de gestionar dichos activos.

Análisis y Gestión de Riesgos.

Identificación de amenazas, vulnerabilidades y probabilidades de impacto en los activos.
Elaboración de un documento donde se refleje el resultado de la evaluación de las vulnerabilidades, los niveles de riesgo y la necesidad de aplicar las distintas medidas y requisitos de seguridad.

Selección e Implantación de Controles de Seguridad.

Elaboración de un Documento de Selección de Controles, documento que, por otra parte, es obligatorio según la norma UNE 71502.
Revisión de la aplicabilidad de los controles seleccionados.
Implantación de forma efectiva de los controles seleccionados.

Establecer un Programa de Mejora de la Seguridad.

Definición de un plan de acción con actuaciones concretas para mejorar la seguridad, siguiendo el modelo “PDCA”.


“Plan” (Planificar): definición y establecimiento del SGSI.
“Do” (Ejecutar): implantación y operación del SGSI.
“Check” (Verificar) comprobación y revisión del SGSI (medir la efectividad de las medidas de seguridad).
“Act” (Actuar): mantenimiento y mejora del SGSI.

Completar la Documentación del SGSI.
Planificación y Diseño del SGSI, incluyendo la definición del alcance.
Políticas de Seguridad de la Información.
Registro de Activos de Información y Valoración de Riesgos.
Documentos de Selección de Controles (DSC).
Procedimientos para la Implantación de los Controles.
Procedimientos para la gestión y operación del SGSI:

Revisión y Auditoria Interna del Proyecto de Implantación del SGSI.
Realización de la Auditoria de Certificación.
Ejecutar las Recomendaciones de la Auditoria.

Sistema de Gestión de la Seguridad de la Información
¿Qué es ISO 17799?
• ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información

• ISO 17799 define la información como un activo.
• La seguridad de la información se define como la preservación de:
– Confidencialidad
– Integridad
– Disponibilidad

¿Qué es ISO 17799? (II)

• La adopción nacional de la norma se denomina ISO/IEC 17799
• Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de controles a aplicar (o al menos, a evaluar) para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI)

Historia de la normative

miércoles, 24 de febrero de 2010

CONTROL INTERNO Y AUDITORIA INFORMÁTICA

CONTROL INTERNO Y AUDITORIA INFORMÁTICA

INTRODUCCION

Tradicionalmente en materia de control interno se adoptaba un enfoque bastante restringido limitado a los controles contables internos.
Durante el último decenio la prensa ha informado sobre escándalos relacionados con errores en el otorgamiento de créditos con garantía de inmuebles inexistentes o sobrevalorados, la manipulación de información financiera, operaciones bursátiles realizadas con información privilegiada y otros fallos de los controles que han afectado a las empresas de diferentes sectores.

Por ellos hay cambios en las empresas que comprometen los controles internos existentes:

La reestructuración de los procesos empresariales (BPR – Bussines Process Re-enginieering).
La gestión de la calidad total (TQM-Total Quality Management).
El redimensionamiento por reducción y/o aumento del tamaño hasta el nivel correcto.
La contratación externa (outsourcing).
La descentralización.

El mundo en general está cambiando y somete a las empresas a la acción de muchas fuerzas externas tales como la creciente necesidad de acceder a los mercados mundiales la consolidación industrial, la intensificación de la competencia y las nuevas tecnologías.

Tendencias externas que influyen en las empresas:

La globalización.
La diversificación de actividades.
La eliminación de ramas de negocio no rentable o antiguas.
La introducción de nuevos productos como respuesta a la competencia.
Las fusiones y la formación de alianzas estratégicas
Ante la rapidez de los cambios los directivos toman conciencia que para evitar fallos de control significativos deben reevaluar y reestructurar sus sistemas de controles internos. Deben evaluar de manera PROACTIVA antes de que surjan los problemas, tomando medidas audaces para su tranquilidad, así como para garantizar al consejo de administración, accionistas, comités y publico, que los controles internos de la empresa están adecuadamente diseñados para hacer frente a los retos del futuro y asegurar la integridad en el momento actual.

Un centro de informática de una empresa suele tener una importancia crucial por soportar los sistemas de información del negocio, por el volumen de recursos y presupuestos que maneja, etc. Por lo tanto aumenta las necesidades de control y auditoría, surgiendo en las organizaciones, como medidas organizativas, las figuras de:

CONTROL INTERNO Y AUDITORIA INFORMATICOS.

La auditoría ha cambiado notablemente en los últimos años con el enorme impacto que ha venido obrando las técnicas informáticas en la forma de procesar la información para la gerencia. La necesidad de adquirir y mantener conocimientos actualizados de los sistemas informáticos devuelve cada vez mas acuciante.

Los auditores informáticos aportan conocimientos especializados, así como su familiaridad con la tecnología informática. Se siguen tratando las mismas cuestiones de control de auditoría, pero los especialistas en auditoría informática de sistemas basados en ordenadores prestan ayuda valiosa a la organización y a los otros auditores en todo lo relativo a los controles sobre dichos temas.
En muchas organizaciones el auditor ha dejado de centrarse en la evaluación y la comprobación de resultados de procesos, desplazando su atención a la evaluación de riesgos y comprobación de controles.

Muchos de los controles se incorporan en programas de sistemas o se realizan por parte de la función informática de la organización, representado por el control interno informático.
El enfoque centrado en controles normalmente exige conocimientos informáticos a nivel de la tecnología utilizada en el área o la organización que se examina.

LAS FUNCIONES DE CONTROL INTERNO Y AUDITORÍA INFORMÁTICA CONTROL INTERNO INFORMÁTICA C.I.I.

Control Interno Informático C.I.I. controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o Dirección de Informática, así como los requerimientos legales.
La misión de C.I.I. es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.

La función se le asigna a una unidad orgánica perteneciente al staff de la Gerencia de Informática y debe estar dotada de las personas y medios materiales requeridos para el cumplimiento de su misión.

En los tratados de auditoría se le denomina CONTROL INTERNO INFORMATICO (CII), definición que a nuestro concepto debe ser reemplazado por el titulo de ADMINISTRACION DE LA SEGURIDAD Y CONTROL DE SISTEMAS (ASYCS), en concordancia a los criterios y conceptos actualizados de las funciones especializadas de control y administración de riesgos.

C.I.I. - PRINCIPALES OBJETIVOS

Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoria Informática, así como de las auditorias externas.

Definir , implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático

C.I.I. - PRINCIPALES FUNCIONES

Realizar en los diferentes sistemas (centrales, departamentales, redes locales, Peces, etc.) y entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes actividades operativas sobre:

Cumplimiento de diferentes procedimientos, normas y controles dictados. Ejemplo. Control de cambios y versiones de software.

Controles sobre la producción diaria.

Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informático.

Controles en las redes de comunicaciones.

Controles sobre el software de base.

Controles en los sistemas microinformáticos.

La seguridad informática:

Usuarios, responsables y perfiles de uso de archivos y bases de datos. Normas de seguridad. Control de información clasificada. Control dual de la seguridad informática.

Licencias.
Contratos con terceros.
Asesorar y transmitir cultura sobre el riesgo informático.

EL AUDITOR INFORMÁTICO (AI)

Evalúa y comprueba en determinados momentos del tiempo, los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoria, incluyendo el uso de software.

En muchos casos ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que deberá emplear software de auditoría y otras técnicas asistidas por ordenador.

Es responsable de revisar e informar a la Dirección de la Empresa, sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.

EL AUDITOR INFORMÁTICO (AI): FUNCIONES PRINCIPALES

Se pueden establecer tres grupos de funciones principales:

Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informáticas, así como en las fases análogas de realización de cambios importantes.

Revisar y juzgar controles implantados en los sistemas informáticos para verificar su adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes.

Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.

CONTROL INTERNO Y AUDITORÍA INFORMÁTICOS: CAMPOS ANÁLOGOS

La evolución de ambas funciones ha sido espectacular en la última década. Muchos de los funcionarios de controles internos informáticos, fueron auditores. Han recibido formación enseguridad informática tras su paso por la formación en auditoría.
Hay una similitud de los objetivos profesionales de control y auditoría, campos análogos que propician una transición natural.
DASYCS – AI: ANALOGÍA
SISTEMA DE CONTROL INFORMÁTICO DEFINICIÓN Y TIPOS DE CONTROLES INTERNOS

Se puede definir el control interno como “cualquier actividad o acción realizada” manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.


Los controles cuando se diseñen, desarrollen e implanten han de ser al menos, completos, simples, fiable, revisables, adecuados y rentables.
os controles internos que se utilizan en el entorno informático continúan evolucionando hoy en día a medida que los sistemas informáticos se vuelven complejos.

Los progresos que se producen en la tecnología de soportes físicos y de software han modificado de manera significativa los procedimientos que se empleaban tradicionalmente para controlar los procesos de aplicaciones y para gestionar los sistemas de información.

CONTROLES INTERNOS INFORMÁTICOS: CLASIFICACIÓN
Controles preventivos.- para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

Controles detectivos.- cuando fallan los preventivos, para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc.

Controles correctivos.- facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.

RELACIÓN EXISTENTE ENTRE LOS MÉTODOS DE CONTROL, LOS OBJETIVOS DE CONTROL Y LOS OBJETIVOS DE AUDITORÍA

A medida que los sistemas se han vuelto más complejos, los controles informáticos han evolucionado hasta convertirse en procesos integrados en los que se atenúan las diferencias entre las categorías tradicionales de controles informáticos.

Por ejemplo, en los actuales sistemas informáticos puede resultar difícil ver la diferencia entre seguridad de los programas, de los datos y objetivos de control del software del sistema, porque el mismo grupo de métodos de control satisface casi totalmente los tres objetivos de control.

La relación entre los métodos de control y los objetivos de control puede demostrarse en el siguiente. Ejemplo, en el que un mismo conjunto de métodos de control se utiliza para satisfacer objetivos de control tanto de mantenimiento como de seguridad de programas:

Objetivo de control de mantenimiento: asegurar que las modificaciones de los procedimientos programados estén adecuadamente diseñadas, probadas, aprobadas e implantadas.

Objetivo de Control de seguridad de programas: garantizar que no se puedan efectuar cambios no autorizados en los procedimientos programados.

IMPLANTACIÓN DE UN SISTEMA DE CONTROL INTERNO INFORMÁTICO

CRITERIO BÁSICO

Los controles pueden implantarse a varios niveles.

La evaluación de controles de tecnología de la Información exige analizar diversos elementos interdependientes. Por ello es importante conocer bien la configuración del sistema, para poder identificar los elementos, productos, herramientas que existen para saber donde pueden implantarse los controles, así como para identificar los posibles riesgos.

CONOCER LA CONFIGURACIÓN DEL SISTEMA

Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados:

Entorno de red..- esquema de la red, descripción de la configuración de hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan las aplicaciones críticas y consideraciones relativas a la seguridad de la red.

Configuración del ordenador base.- configuración del soporte físico, entorno del sistema operativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y conjunto datos.

Entorno de aplicaciones.- procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos.

Productos y herramientas.- software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas.

Seguridad del ordenador base.- identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc.

PARA LA IMPLANTACIÓN DE UN SISTEMA DE CONTROL INTERNO INFORMÁTICO DEBE DEFINIRSE:

Gestión de sistemas de información.- política, pautas y normas técnicas que sirvan para el diseño y la implantación de los sistemas de información y de los controles correspondiente.

Administración de sistemas.- controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.

Seguridad.-
incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

Gestión de cambio.- separación de las pruebas y la producción a nivel de software y controles de procedimientos para la migración de programas software aprobados y probados.

RESPALDO PARA LA IMPLANTACIÓN DE UNA POLÍTICA Y CULTURA DE SEGURIDAD

Dirección de Negocio o Dirección de Sistemas de Información (S.I).- Define la política y/o directrices para los sistemas de información en base a las exigencias del negocio, que podrán ser internas o externas.

Dirección de Informática.- Ha de definir las normas de funcionamiento del entorno informático y de cada una de las funciones de informática mediante la creación y publicación de procedimientos, estándares, metodología y normas, aplicables a todas las áreas de informática así como a los usuarios, que establezcan el marco de funcionamiento.

Control Interno Informático.- ha de definir los diferentes controles periódicos a realizar en cada una de las funciones informáticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser diseñados conforme a los objetivos de negocio y dentro del marco legal aplicable. Estos se plasmarán en los oportunos procedimientos de control interno y podrán ser preventivos o de detección. Periódicamente realizará la revisión de controles establecidos de Control Interno Informático informando las desviaciones a la Dirección de Informática y sugiriendo cuantos cambios crea convenientes en los controles, así como trasmitirá constantemente a toda la organización de Informática la cultura y políticas de riesgo informático.

Auditor interno/externo informático.- ha de revisar los diferentes controles internos definidos en cada una de las funciones informáticas y el cumplimiento de normativa interna y externa, de acuerdo al nivel de riesgo, conforme a os objetivos definidos por la Dirección de Negocio y la Dirección de Informática. Informará a la Alta Dirección de los hechos observados y al detectarse deficiencias o ausencias de controles recomendarán acciones que minimicen los riesgos que puedan originarse. La creación de un sistema de control informático es una responsabilidad de la Gerencia y un punto destacable de la política en el entorno informático.
CONTROL INTERNO Y AUDITORÍA
CONTROLES INTERNOS PARA SISTEMAS DE INFORMACIÓN

AGRUPADOS POR SECCIONES FUNCIONALES Y QUE SERÍAN LOS QUE CONTROL INTERNO INFORMÁTICO Y AUDITORÍA INFORMÁTICA DEBERÍAN VERIFICAR PARA DETERMINAR SU CUMPLIMIENTO Y VALIDEZ

CONTROLES DE DESARROLLO, ADQUISICIÓN Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

Para que permitan alcanzar la eficacia del sistema, economía y eficiencia, integridad de los datos, protección de los recursos y cumplimiento con las leyes y regulaciones.

Metodología del ciclo de vida del desarrollo de sistemas. Principales controles:

La Alta Dirección debe publicar una normativa sobre el uso de metodología de ciclo de vida de desarrollo de sistemas y revisar ésta periódicamente.

La metodología debe establecer los papeles y responsabilidades de las distintas áreas del Departamento de Informática y de los Usuarios, así como la composición y responsabilidades del equipo del proyecto.

Las especificaciones del nuevo sistema deben ser definidas por los usuarios y quedar escritas y aprobadas antes e que comience el proceso de desarrollo.

Debe establecerse un estudio tecnológico de viabilidad en el cual se formulen formas alternativas de alcanzar los objetivos acompañadas de un análisis costo-beneficio de cada alternativa.

Cuando se seleccione una alternativa debe formularse el plan director del proyecto. En dicho plan deberá existir una metodología de control de costos.

CONTROLES EN LA METODOLOGÍA DE DESARROLLO DE SISTEMAS

Procedimientos para la definición y documentación de especificaciones de: diseño, de entrada, de salida, de ficheros, de procesos, de programas, de controles de seguridad, de pistas de auditoría, etc.

Plan de validación, verificación y pruebas.

Estándares de prueba de programas, de pruebas de sistemas.

Plan de conversión: prueba de aceptación final.

Los procedimientos de adquisición de software deberán seguir las políticas de adquisición de la organización y dichos productos deberán ser probados y revisados antes de pagar por ellos y ponerlos en uso.

La contratación de outsourcing debe estar justificada mediante una petición escrita de un director del proyecto.

Deberán prepararse manuales de operación y mantenimiento como parte de todo proyecto de desarrollo o modificación de sistemas de información, así como manuales de usuario.

EXPLOTACIÓN Y MANTENIMIENTO

El establecimiento de controles asegurará que los datos se traten de forma congruente y exacta y que el contenido de sistemas sólo será modificado mediante autorización adecuada.

Algunos controles que deben implantarse:

Procedimiento de control de explotación.

Sistema de contabilidad para asignar usuarios de costos asociados con la explotación de un sistema de información.
Procedimientos para realizar un seguimiento y control de los cambios de un sistema de información.

CONTROLES DE EXPLOTACIÓN DE SISTEMAS DE INFORMACIÓN
Planificación y Gestión de recurso: definir el presupuesto operativo del Departamento, Plan de adquisición de equipos y gestión de la capacidad de los equipos.

Controles para usar de manera efectiva los recursos en ordenadores:

Calendario de carga de trabajo.

Programación de personal.

Mantenimiento preventivo del material.

Gestión de problemas y cambios.

Procedimientos de facturación a usuarios.

Sistemas de gestión de la biblioteca de soportes.

Procedimientos de selección del software del sistema, de instalación, de mantenimiento, de seguridad y control de cambios.

SEGURIDAD FÍSICA Y LÓGICA

Definir un grupo de seguridad de la información, siendo una de sus funciones la administración y gestión del software de seguridad, revisar periódicamente los informes de violaciones y actividad de seguridad para identificar y resolver incidentes.

Controles físicos para asegurar que el acceso a las instalaciones del Dpto. de Informática quede restringido a las personas autorizadas.

Control de visitas: personas externas a la organización.

Instalación de medidas de protección contra el fuego.

Formación y concientización en procedimientos de seguridad y evacuación del edificio.

Control de acceso restringido a los ordenadores.

Normas que regulen el acceso a los recursos informáticos.

Existencia de un plan de contingencias para el respaldo de recursos de ordenador críticos y para la recuperación de los servicios del Dpto. Informático después de una interrupción imprevista de los mismos.

CONTROLES DE APLICACIONES

Cada aplicación debe llevar controles incorporados para garantizar la entrada, actualización, validez y mantenimiento completos y exactos de los datos.

Aspectos más importantes en el control de datos:
Control de entrada de datos: procedimientos de conversión y de entrada, validación y corrección de datos.

Control de tratamientos de datos para asegurar que no se dan de alta, modifican o borran datos no autorizados para garantizar la integridad de los mismos mediante procesos no autorizados.

Controles de salidas de datos: sobre el cuadre y reconciliación de salidas, procedimientos de distribución de salidas, de gestión de errores en las salidas, etc.

CONTROLES ESPECÍFICOS DE CIERTAS TECNOLOGÍAS

Controles en sistemas de Gestión de Base de datos.

Sobre el software de gestión de BD para preveer el acceso a la estructuración de y el control sobre los datos compartidos, deberá instalarse y mantenerse de modo tal que asegure la integridad del software, las bases de datos y las instrucciones de control que definen el entorno.

Que están definidas las responsabilidades sobre la planificación, organización, dotación y control de los activos de datos, es decir, un administrador de datos.

Que existen procedimientos para la descripción y los cambios de datos así como para el mantenimiento del diccionario de datos.

Sobre el acceso de datos y la concurrencia.
Para minimizar fallos, recuperar el entorno de las bases de datos hasta el punto de la caída y minimizar el tiempo necesario para la recuperación

Controles para asegurar la integridad de los datos: programas de utilidad para comprobar los enlaces físicos – punteros – asociados a los datos, registros de control para mantener los balances transitorios de transacciones para su posterior cuadre con totales generados por el usuario o por otros sistemas.

CONTROLES ESPECÍFICOS DE CIERTAS TECNOLOGÍAS

Planes adecuados de implantación, conversión y pruebas de aceptación para la red.

Existencia de un grupo de control de red.

Controles para asegurar la compatibilidad de conjunto de datos entre aplicaciones cuando la red es distribuida.

Procedimientos que definan las medidas y controles de seguridad a ser usados en la red de informática en conexión con la distribución del contenido de bases de datos entre los departamentos que usan la red.
Que se identifiquen todos los conjuntos de datos sensibles de la red y que se han determinado las especificaciones para su seguridad.

Existencia de inventario de todos los activos de la red.

Existencia de mantenimiento preventivo de todos los activos.

Que existen controles que verifican que todos los mensajes de salida se validan de forma rutinaria para asegurar que contienen direcciones de destino válidas.

Controles de seguridad lógica: control de acceso a la red, establecimiento de perfiles de usuario.

Procedimientos de cifrado de información sensible que se transmite a través de la red.

Procedimientos de cifrado de información sensible que se transmite a través de la red.

Procedimientos automáticos para resolver cierres del sistema.

Monitorización para medir la eficiencia de la red.

Diseñar el trazado físico y las medidas de seguridad de las líneas de comunicación local dentro de la organización.

Detectar la correcta o mala recepción de mensajes.

Identificar los mensajes por una clave individual de usuario, por terminal y por el número de secuencia del mensaje.

Revisar los contratos de mantenimiento y el tiempo medio de servicio acordados con el proveedor.

Determinar si el equipo multiplexor/concentrador/procesador frontal remoto tiene lógica redundante y poder de respaldo con realimentación automática para casos de fallas.

Asegurarse de que haya procedimientos de recuperación y reinicio.

Asegurarse de que existan pistas de auditoría que puedan usarse en la reconstrucción de los archivos de datos y de las transacciones de los diversos terminales. Debe existir la capacidad de rastrear los datos entre el terminal y el usuario.

Considerar circuitos de conmutación que usen rutas alternativas para diferentes paquetes de información provenientes del mismo mensaje; esto ofrece una forma de seguridad en caso alguien intercepte los mensajes.

FUNCIÓN CONTROL EN LOS SISTEMAS

Función control esparcida en la empresa.

Consecuencia del desarrollo empresarial.

Especialización de sus áreas con infraestructura tecnológica.

Decisiones basadas en información confiable, adecuado en tiempo y forma.

Administración de empresas apoyada en tecnología.

Persona encargadas de control: cómo hacer para obtener efectividad en sus funciones, si no participan en el desarrollo de los sistemas.Tendencia se invierte con activa participación de la función de control en el desarrollo, implementación y seguimiento de los sistemas de informática.

martes, 23 de febrero de 2010

LEGALIDAD DE LA ADQUISICIÓN DE SOFTWARE Y GESTIÓN DE LOS SERVICIOS Y BIENES INFORMÁTICOS EN ENTIDADES Y DEPENDENCIAS DEL SECTOR PÚBLICO

LEGALIDAD DE LA ADQUISICIÓN DE SOFTWARE Y GESTIÓN DE LOS SERVICIOS Y BIENES INFORMÁTICOS EN ENTIDADES Y DEPENDENCIAS DEL SECTOR PÚBLICO

Introducción

El Estado Peruano, en el marco de la administración eficiente de los recursos, emite normativas que deberán ser implementadas por los responsables de la administración de cada institución.
Muchas de estas normativas están relacionadas a la Legalidad de la Adquisición de Software y Gestión de los Servicios y Bienes Informáticos.

La presente sesión de clase esta orientada a conocer algunas normas que permitirán desarrollar actividades de control relacionadas a la Legalidad de la Adquisición de Software y Gestión de los Servicios y Bienes Informáticos.

NORMATIVAS
LEGALIDAD DE SOFTWARE
DECRETO LEGISLATIVO 822 - LEY SOBRE EL DERECHO DE AUTOR.

Artículo 37º.- Siempre que la Ley no dispusiere expresamente lo contrario, es ilícita toda reproducción, comunicación, distribución, o cualquier otra modalidad de explotación de la obra, en forma total o parcial, que se realice sin el consentimiento previo y escrito del titular del derecho de autor.

Artículo 188º.- La Oficina de Derechos de Autor podrá imponer conjunta o indistintamente, las siguientes sanciones:

a) Amonestación.
b) Multa de hasta 150 Unidades Impositivas Tributarias.
c) Reparación de las omisiones.
d) Cierre temporal hasta por treinta días del establecimiento.
e) Cierre definitivo del establecimiento.
f) Incautación o comiso definitivo.
g) Publicación de la resolución a costa del infractor.

DECRETO SUPREMO Nº 013-2003-PCM. Referido a la Legalidad de la Adquisición de programas de Software en Entidades y Dependencias del Sector Público, que menciona:

Artículo 3º.- Las entidades y dependencias del sector público, deberán implementar las medidas necesarias para asegurar que las partidas presupuestales que se elaboren a partir de la vigencia del presente Decreto, incluyan recursos suficientes para el pago de las licencias de software por adquirir, en los casos en que proceda dicho pago.
Artículo 4º.- En un plazo que no exceda del 31 de marzo de 2005, las entidades y dependencias comprendidas en la presente norma deberán inventariar los software con que cuentan, procediendo a la eliminación de aquellos que no cuenten con la respectiva licencia, en tanto se requiere dicha licencia, o a la correspondiente regularización con los titulares de derechos sobre los mismos. Copia de dicho inventario será remitida a la Presidencia del Consejo de Ministros y al Instituto Nacional de Estadística e Informática – INEI, para coordinar el proceso de regularización al que hace referencia este artículo.

Artículo 5º.- Las entidades y dependencias comprendidas en la presente norma, deberán adoptar las siguientes acciones:
  • Otorgar al Jefe de Informática o al funcionario que cada entidad señale, la responsabilidad decertificar el cumplimiento de las medidas señaladas en el Decreto Supremo.
  • Adoptar la Guía para la Administración Eficiente del Software Legal en la Administración Pública.
  • Desarrollar y mantener un adecuado sistema de actualización del inventario de software de la entidad o dependencia según sea el caso.
  • Incluir expresamente el requerimiento de autorización o licencia legalmente emitida de todo proceso de compra estatal de software legal, en tanto dicha autorización o licencia se requiera.
  • Desarrollar acciones informativas dirigidas al personal de cada institución con el objeto de asegurar la correcta administración del software y el cumplimiento de las obligaciones contenidas en la presente norma.

DECRETO SUPREMO Nº 037-2005-PCM

  • Que modifica el D.S. Nº 013-2003-PCM, fijando plazo para que las entidades públicas cumplan con inventariar los software que utilizan.
  • Artículo 1º.- Modifíquese el texto del artículo 4º del Decreto Supremo Nº 013-2003-PCM en los términos siguientes:
  • “En un plazo que no exceda del 31 de diciembre de 2006, las entidades y dependencias comprendidas en la presente norma deberán inventariar los software con que cuenten, procediendo a la eliminación de aquellos que no cuenten con la respectiva licencia, en tanto se requiere dicha licencia, o a la correspondiente regularización con los titulares de derechos cobre los mismos. Copia de dicho inventario será remitida a la Presidencia del Consejo de Ministros para coordinar el proceso de regularización al que hace referencia este artículo”.

DECRETO SUPREMO Nº 002-2007-PCM

“Mediante el cual modifican el Decreto Supremo Nº 013-2003-PCM y establecen disposiciones referidas a licenciamiento de software en entidades públicas.

Artículo 1º.- Modificación del artículo 4º del Decreto Supremo Nº 013-2003-PCM.

Modifíquese el texto del artículo 4º del Decreto Supremo Nº 013-2003-PCM en los términos siguientes:

“En un plazo que no excederá del 31 de julio de 2008, las entidades y dependencias comprendidas en la presente norma deberán inventariar los software con que cuenten, procediendo a la eliminación de aquéllos que no cuenten con la respectiva licencia, en tanto se requiera dicha licencia, o a la correspondiente regularización con los titulares de derechos sobre los mismos. Copia de dicho inventario será remitida a la Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia de Consejo de Ministros”.

Artículo 2º.- Equivalencias.
En un plazo de 45 días calendario, contados a partir de la vigencia del presente Decreto Supremo, la Oficina Nacional de Gobierno Electrónico e Informática publicará en el Portal del Estado Peruano un informe conteniendo las equivalencias entre software privado y software de libre disponibilidad como recomendación para la implantación de software de libre disponibilidad en las instituciones públicas.

Artículo 3º.- Adquisiciones.
Los procesos de selección de contrataciones y adquisiciones de computadoras personales que convoquen las entidades y dependencias del Sector Público durante el presente ejercicio fiscal, deberán considerar de manera obligatoria el sistema operativo y la herramienta ofimática base de acuerdo a los perfiles de usuario determinados por la institución.

Artículo 4º.- Responsable.
La Oficina Nacional de Gobierno Electrónico e Informática será responsable de determinar las condiciones necesarias para el correcto licenciamiento del software privado actualmente en uso de la administración pública.

DECRETO SUPREMO Nº 053-2008-PCM

Modifica en artículo 4º del Decreto Supremo Nº 013-2003-PCM para el cumplimiento de la Administración Pública de las normas vigentes en materia de Derechos de Autor en el Marco de la Reforma del Estado y la implementación del Acuerdo de Promoción Comercial Perú – Estados Unidos.

Establece en el Artículo 1º, se modifique el texto del Artículo 4º del D.S. Nº 013-2003-PCM en los términos siguientes.

“En un plazo que no excederá del 31 de octubre de 2008, las entidades y dependencias comprendidas en la presente norma deberán inventariar los software con que cuenten, procediendo a la eliminación de aquellos que no cuenten con la respectiva licencia, en tanto se requiera dicha licencia, o a la correspondiente regularización con los titulares de derechos sobre los mismos. Copia de dicho inventario será remitida a la Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia del Consejo de Ministros”.

DECRETO SUPREMO Nº 077-2008-PCM

Modifican el Artículo 4º del Decreto Supremo Nº 013-2003-PCM para el cumplimiento en la Administración Pública de las normas vigentes en materia de derechos de autor en el marco de la reforma del Estado y la implementación del Acuerdo de Promoción Comercial Perú – Estados Unidos.

Que, luego de definirse los plazos para el uso de software legal por la administración pública, conforme al Artículo 4º del Decreto Supremo Nº 013-2003-PCM, modificado por los artículos 1º del Decreto Supremo Nº 037-2005-PCM, 1º del Decreto Supremo Nº 002-2007-PCM y 1º del Decreto Supremo Nº 053-2008-PCM, y mejorar los niveles de uso de software legal en todos los estamentos del Estado, de acuerdo a los informes de seguimiento realizados por la Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia del Consejo de Ministros, se hace necesario adoptar acciones conducentes a garantizar su efectiva aplicación e implementación, y generar el marco adecuado para la reforma y modernización del Estado Peruano.

Artículo 1º.- Modificación del artículo 4º del Decreto Supremo Nº 013-2003-PCM. Modifíquese el artículo 4º del Decreto Supremo Nº 013-2003-PCM en los términos siguientes:

“El Estado iniciará un programa de renovación del parque informático que permita acelerar el proceso de modernización de la infraestructura tecnológica estatal, reemplazando antes del 31 de diciembre de 2011 los equipos necesarios para tal fin, asegurando con ello el uso de software legal en la administración pública.

Artículo 1º.- Modificación del artículo 4º del Decreto Supremo Nº 013-2003-PCM. Modifíquese el artículo 4º del Decreto Supremo Nº 013-2003-PCM en los términos siguientes:

“El Estado iniciará un programa de renovación del parque informático que permita acelerar el proceso de modernización de la infraestructura tecnológica estatal, reemplazando antes del 31 de diciembre de 2011 los equipos necesarios para tal fin, asegurando con ello el uso de software legal en la administración pública.

Las entidades y dependencias comprendidas en la presente norma deberán realizar anualmente el inventario del software con que cuentan, procediendo a la eliminación de aquel software que no cuente con la respectiva licencia en tanto ésta sea requerida para su uso, o procediendo a regularizar el uso de las licencias con los titulares de los derechos sobre el software respectivo. Copia de dicho inventario será remitida a la Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia del Consejo de Ministros”.

RESOLUCION JEFATURAL Nº 199-2003-INEI.

Que en su artículo 1°, aprueba la Directiva Nº 008-2003-INEI/DTNP, sobre “Normas Técnicas para la administración del Software Libre en los Servicios Informáticos de la Administración Pública”.

DIRECTIVA Nº 008-2003-INEI/DTNP.

Referido a las normas técnicas para la administración del software libre en los servicios informáticos de la administración pública. Tiene como objetivo, dar lineamiento para el uso correcto y seguro del software libre.

II. Alcance: La presente Directiva es de cumplimiento por las entidades del Poder Ejecutivo, Legislativo y Judicial, Organismos Autónomos, Organismos Públicos Descentralizados, Gobiernos Regionales, Locales y Empresas Públicas a nivel nacional.

7.1 La Oficina de Informática (o la que haga sus veces) de cada entidad es la responsable de establecer, en el marco del Plan Estratégico de Tecnología de Información y de lo establecido en el Decreto Supremo Nº 013-2003-PCM, la implantación del software libre en una entidad pública.

RESOLUCIÓN MINISTERIAL Nº 073-2004-PCM.

Referido a la aprobación de la Guía para la Administración Eficiente del Software Legal en la Administración Pública.

Que en el Artículo 1º aprueba la Guía para la Administración Eficiente del Software Legal en la Administración Pública.

Así mismo menciona en el Artículo 2º que las entidades de la Administración Pública, integrantes del Sistema Nacional de Informática, deberán aplicar lo establecido en el Artículo 1º, siendo responsabilidad de las áreas de informática o de las que hagan sus veces, la implementación y aplicación de la presente norma.

En el artículo 3º indica que la áreas de informática o las que hagan sus veces, desarrollarán acciones informativas y de capacitación dirigidas al personal de cada institución, con el objeto de asegurar la correcta aplicación de lo establecido en el artículo 1º. Para tal efecto realizarán las coordinaciones correspondientes con las áreas de personal o las que hagan sus veces en la entidad.

GUÍA PARA LA ADMINISTRACIÓN EFICIENTE DE SOFTWARE LEGAL EN LA ADMINISTRACIÓN PÚBLICA

Establece:

En el Capítulo II, cuarto párrafo que garantiza el cumplimiento de la Ley, indica que; además de los acuerdos de licencia, la ley de derechos de autor protege, a los autores del software, de la reproducción y distribución no autorizada de software. La misma Ley prohíbe también que los usuarios carguen, descarguen o transmitan copias no autorizadas de software por Internet u otros medios electrónicos. Las violaciones de estas restricciones pueden constituir delitos, los cuales exponen al infractor a sanciones de hasta 8 años de pena privativa de la libertad, así como a multas de hasta 150 Unidades Impositivas Tributarias.

Control de costos de adquisición. Un proceso de administración eficaz reduce al mínimo los costos de adquisición de software a identificar y comunicar las necesidades de software actuales y futuras de una institución, elaborar oportunamente el presupuesto para la adquisición de software y concretar la compra solamente de aquellos recursos que se consideren necesarios en conformidad con los procedimientos de adquisición claramente identificados.

La preparación del presupuesto es clave. Deben identificarse los gastos planificados de software como una partida separada dentro del presupuesto para TI y realizar seguimiento de los gastos actuales en comparación con los proyectados. De esta manera puede evaluarse en forma más exacta las necesidades, garantizar que el software adquirido sea legal y planificar futuras adquisiciones. Como un dato adicional, cabe anotar que las organizaciones de envergadura a menudo dedican el 25 por ciento de sus presupuestos de TI a software.

Evitar procesos legales, sanciones y multas. Es deber de una institución evitar los costos en los procesos legales, las multas y las sanciones mediante la puesta en vigor del proceso de administración de activos de software descrito en la presente guía (al que hace referencia la Resolución Ministerial Nº 073-2004-PCM). El proceso generará un registro de los documentos necesarios para evitar estos riesgos.

El registro incluirá:

Una declaración escrita de la política de software de su organización

Pruebas de la aceptación y el entendimiento por parte de los empleados de la política, el proceso de administración y las responsabilidades

Un inventario completo y actual de los activos de software

Documentación sobre todas las medidas adoptadas en apoyo del proceso de administración y de aquellas señaladas en el Decreto Supremo Nº 013-2003-PCM.

En el Capítulo III, la guía en mención indica lo siguiente:
Realizar un inventario de software es un componente crítico del proceso de administración. Se debe identificar todo el software instalado en las computadoras de la institución, así como recopilar y almacenar en un depósito seguro las licencias y la documentación para el software cuyo uso en la institución haya sido aprobado.

El área de informática debe mantenerla actualizada mediante la renovación periódica de la lista de software autorizado por la institución y la actualización, en caso sea necesaria, de los términos de los acuerdos de licencias. Además, se deben adoptar medidas preventivas para reducir a un mínimo la necesidad de acciones correctivas en el futuro.

  • Formular y comunicar una política de software. la declaración política que formule la institución debe darse a conocer a los empleados a través de los diversos medios disponibles: correo electrónico, intranet, periódico mural, reuniones de trabajo, otros.
  • Especificar, comunicar y solicitar la aceptación. Inicialmente, generar apoyo mediante la especificación y la comunicación clara de una política para software, una jerarquía de mando y las responsabilidades de cada empleado. Incluir la información en el manual de funciones del empleado. Distribuir la información en cursos de orientación para nuevos empleados.
  • Evitar la confusión y solicitar a cada empleado que lea y acepte la declaración. Es necesario probar que cada empleado recibió información, ha entendido y aceptado cumplir la política interna para administración y uso de software.
  • Educar. La formación es un elemento importante para obtener la aceptación de los empleados. La institución debe diseñar un programa de formación que ofrezca preparación en tres áreas generales:
  • Comprender la declaración de la política, incluido el proceso de administración, los procedimientos de compra y las responsabilidades de los empleados.
  • Saber determinar si el software o su uso es ilegal
  • Reconocer cómo aprovechar las ventajas del activo del software utilizado por la organización.

Formas de administración. Una correcta administración de software incluye dos etapas:

  • Realizar un inventario inicial de software, y después
  • Establecer políticas y procedimientos para mantener el software sobre una base continua.

Perfil del usuario. El perfil de Usuario de Software debe ser elaborado y administrado por la Oficina de Informática para la estandarización, control y optimización del uso de los programas, según las necesidades de la institución.

Sobre el Capítulo IV, menciona lo siguiente:

Lineamientos sobre el Uso del Software y del Perfil de Usuario.

  • Los programas desarrollados en la institución y los encargados a terceros deben ser elaborados bajo los estándares de programación, leguajes y herramientas de desarrollo elaborados por la Oficina de Informática de la institución en coordinación con el área del usuario, de acuerdo con los requerimientos del Sistema definido por ellos.
  • Todo software elaborado en la institución debe ser revisado y aprobado por la Oficina de Informática. Asimismo, se sugiere su registro ante la Oficina de Derechos de Autor del INDECOPI.
  • Cada usuario debe utilizar únicamente el software que la oficina de Informática haya instalado de acuerdo al Perfil de Usuario para el uso de software, asignado según las actividades que desempeñan.
  • La Oficina de Informática de la institución deberá evaluar constantemente los programas y/o actualizaciones existentes en el mercado tecnológico para su posible incorporación dentro de la lista de programas estandarizados. Un usuario puede poseer más de un Perfil de Uso.
  • No deberá estar permitido instalar otros programas que no estén incluidos en el Perfil de Usuario, aún cuando sean éstos legales y de propiedad del usuario, salvo en casos autorizados por la Oficina de Informática con la licencia o certificado de autorización de uso del fabricante, demostrando además que son utilizadas por un periodo corto y su productividad en las labores asignadas. Igual caso se considera para los programas llamados “freeware” y “shareware”, salvo en este último caso el cual se debe eliminar una vez culminado su período de prueba. Dentro de los programas que pueden ser instalados, se encuentran los llamados “parches” o “actualizaciones” que los fabricantes distribuyen de forma gratuita para optimizar sus productos.
  • lineamientos de instalación / desinstalación
  • La Oficina de Informática deberá ser exclusivamente quien pueda instalar y desinstalar los programas en los equipos de los usuarios. Esta disposición deberá ser expresa.
  • Todos los equipos que requieran la instalación de software deben cumplir los requerimientos mínimos para su funcionamiento.
  • Es recomendable que toda solicitud de instalación de software debe estar debidamente justificada por intermedio y autorización del Jefe directo del usuario solicitante, mediante correo electrónico el cual deberá contener al menos: Nombre del Usuario del equipo a instalarse el software, Cargo, Código Patrimonial del CPU, programas requeridos, versión y período de uso así como la justificación de la solicitud.
    Lineamientos para Software base, Aplicaciones, Manejadores de Base de Datos y/o utilitarios.Es recomendable que la Oficina de Informática instale los programas en los equipos recientemente asignados según su Perfil de Usuario, eliminando aquellos que no correspondan con el nuevo perfil. En caso de no ser totalmente nuevo, se procederá a formatear el disco duro e instalar los programas.

DIRECTIVA Nº 007-95-INEI-SJI.

  • Referido a las recomendaciones técnicas para la seguridad e integridad de la información que se procesa en la administración pública. En el numeral 5.1 estipula que; En los procedimientos administrativos es recomendable la identificación previa del personal que va a ingresar a las áreas de cómputo, verificando si cuenta con la autorización correspondiente y registrándose el ingreso y salida del área.
  • En el numeral 5.11 de la presente Directiva, indica que; Cuando desee proteger especialmente una base de datos se preverá en su desarrollo, que esté garantizado un límite de instalaciones (licencias autorizadas), para su uso.

DIRECTIVA Nº 016-2002-INEI/DTNP.

Referido a las Normas Técnicas para el Almacenamiento y Respaldo de la Información Procesada por las Entidades de la Administración Pública. Establece que:

6.2.1 Copias de los medios de almacenamiento de la información se ubicarán en otro(s) local(es) distante(s) de la institución. La institución designará un responsable para realizar esta labor.

6.3.2 La Oficina de Informática especificará y documentará en el Plan de Contingencias institucional, los procedimientos utilizados en el respaldo de la información.

6.4.9 La Oficina de Informática (o la que haga sus veces) informará periódicamente a los usuarios, el cronograma de respaldo de información, asimismo, hará de conocimiento general las políticas de seguridad y respaldo de información.

RESOLUCIÓN JEFATURAL Nº 0181-2002-INEI

Referido a la aprobación de la Guía Teórico Práctica para la elaboración de Planes Estratégicos de Tecnología de Información – PETI. En su Artículo 2º establece que; Los órganos confortantes del Sistema Nacional de Informática deberán elaborar el Plan Estratégico de Tecnologías de Información de su institución, en base a la Guía Teórico Práctica aprobada en el Artículo 1º de la presente Resolución.

DIRECTIVA Nº 008-95-INEI/SJI.

Referido a las Recomendaciones Técnicas para la Protección de los Equipos y Medios de Procesamiento de la Información en la Administración Pública. Establece que:

Evitar los cableados sueltos o dispersos, éstos deberán entubarse.

Para combatir los incendios producidos por equipos eléctricos se deben utilizar extintores, hechos preferentemente de bióxido de carbono, productos químicos secos y líquido vaporizado. Estos estarán al alcance inmediato, preservando la vigencia química del extintor, e identificando su localización en el respectivo plano.

6.1Es recomendable que el acceso a los centros de cómputo sea restringido al personal autorizado, contándose con un registro de entradas y salidas de visitantes.

6.8 Contará con un plan de contingencia, así como con estrategias adecuadas para hacer frente a los desastres. Entre el área de cómputo y las demás áreas, se establecerán acuerdos acerca de las condiciones bajo las cuales el plan de contingencias ha de ser activado, considerándose la duración probable de la falta de servicio, y la pérdida (total o parcial) de la capacidad de procesamiento en una o varias instalaciones, etc.

DIRECTIVA Nº 016-94-INEI/SJI.

Referido a las Normas para la Prevención, Detección y Eliminación de Virus Informático en los Equipos de Cómputo de la Administración Pública. Establece que:
Por ningún motivo debe usarse los servidores de red como estaciones de trabajo.

DIRECTIVA Nº 010-95-INEI/SJI.

Referido a las Recomendaciones Técnicas para la Organización y Gestión de los Servicios Informáticos para la Administración Pública. Establece que:

5.1. Los tipos o formas de brindar un Servicios Informático, son los siguientes:

Centro de Cómputo, es la dependencia responsable del procesamiento automático de datos, se caracteriza por disponer de equipos de cómputo de gran capacidad operativa. Este tipo de dependencia corresponde a una organización centralizada de servicios informáticos, por lo que su gestión está basada sobre Áreas Especializadas.

5.12 Toda institución pública que disponga de un Centro de Cómputo, de Unidades de Cómputo de Usuario y Usuarios que dispongan de Computadoras deberá normar sus actividades, con la finalidad de garantizar un adecuado y ordenado desarrollo del Servicio Informático para la institución, a fin de evitar conflictos de índole técnico – administrativo que pudieran presentarse.

RESOLUCION MINISTERIAL Nº 139-2004-PCM.

Referido a la “Guía Técnica Sobre Evaluación de Software para la Administración Pública”. Establece que:

Artículo 1.- Aprobar el documento “Guía Técnica Sobre Evaluación de Software para la Administración Pública”, documento que será publicado en el Portal de la Presidencia del Consejo de Ministros (www.pcm.gob.pe)

Artículo 2.- Las entidades de la Administración Pública, integrantes del Sistema Nacional de Informática, deberán aplicar lo establecido en la “Guía Técnica Sobre Evaluación de Software para la Administración Pública” en los productos de software que desarrollen o adquieran a partir de la fecha de publicación de la presente Resolución.

GUÍA TÉCNICA SOBRE EVALUACIÓN DE SOFTWARE PARA LA ADMINISTRACIÓN PÚBLICA

PARTE 2: MÉTRICAS.

2.2. Métrica Interna.- …En el desarrollo de un producto de software, los productos intermedios deben ser evaluados usando métricas internas que permitan medir las propiedades intrínsecas, incluyendo aquellas que puedan derivarse de comportamientos simulados. El propósito primario de esta métrica interna es asegurar que se logre la calidad externa y la calidad de uso requerida. La métrica interna proporciona a los usuarios, evaluadores, verificadores y desarrolladores el beneficio de que puedan evaluar la calidad del producto de software y lo referido a problemas de calidad antes de que el producto de software sea puesto en ejecución.

2.3. Métrica Externa.- …Antes de adquirir o usar un producto de software, éste debe ser evaluado usando las métricas basadas en los objetivos del área usuaria de la institución relacionados al uso, explotación y dirección del producto, considerando la organización y el ambiente técnico. La métrica externa proporciona a los usuarios, evaluadores, verificadores y desarrolladores, el beneficio de que puedan evaluar la calidad del producto de software durante las pruebas o el funcionamiento.

PARTE 3: PROCESO DE EVALUACIÓN DE SOFTWARE

Todo proceso de evaluación de software deberá partir de una evaluación cualitativa y derivar en una evaluación cuantitativa, siendo todo el proceso documentado, cumpliendo los siguientes pasos:

3.1 Establecer el propósito de la evaluación:
Productos intermedios:

  • Decidir sobre la aceptación de un producto intermedio de un subcontratista o proveedor.
  • Decidir cuándo un proceso está completo y cuando remitir los productos al siguiente proceso.
  • Predecir o estimar la calidad del producto final.
  • Recoger información con objeto de controlar y gestionar el proceso.
  • Otros con justificación.

Producto final:

  • Decidir sobre la aceptación del producto.
  • Decidir cuándo publicar el producto.
  • Comparar el producto con otros productos competitivos.
  • Seleccionar un producto entre productos alternativos.
  • Valorar tanto el aspecto positivo, como el negativo, cuando está en uso.
  • Decidir cuándo mejorar o reemplazar un producto.
  • Otros con justificación.


3.10 Documentación

  • Todo el proceso de evaluación debe estar documentado, indicando nombres y apellidos, cargos, procedencia de las personas que participaron en el proceso de evaluación, especificando las etapas en las que participaron, si es necesario. Este documento deberá ser aprobado por el Jefe de Informática o quien haga sus veces.

COMENTARIOS

14.- Se realizó la verificación de adquisición de computadoras y licencias de software en los dos últimos años (2008 y 2009). De la verificación realizada en el Sistema Electrónico de Adquisiciones y Contrataciones del Estado – SEACE, respecto a la compra de computadoras en el ejercicio 2008 por parte de la Institución, se pudo identificar que, con proceso de selección Nº XXXXX, se llevó acabo la adquisición de 4 computadoras y dos impresoras. En las bases de convocatoria para la adquisición de estos equipos no contempla el software que utilizarán las 4 computadoras, obteniendo la buena pro el 22/08/2008 la empresa SISTERET SRL. Del mismo modo en el ejercicio 2009, con proceso de selección Nº YYYYYY, se llevó acabo la adquisición de un equipo servidor y con proceso de selección Nº ZZZZZZ, se efectuó la adquisición de 10 computadoras, para ambas adquisiciones, las bases de convocatoria no contempla el software que utilizarán los equipos, obteniendo la buena pro el proveedor Cayo Julca.

CONCLUSIONES

4.- En los procesos de selección de contrataciones y adquisiciones de computadoras personales que convoca la Institución, no considera el sistema operativo y la herramienta ofimática base, incumpliendo al artículo 3º del Decreto Supremo Nº 002-2007-PCM. (Comentario 14).

RECOMENDACIONES

4.- En los procesos de selección de contrataciones y adquisiciones de computadoras personales que convoque la Institución, deberá considerar de manera obligatoria el sistema operativo y la herramienta ofimática base de acuerdo a los perfiles de usuario determinados por la institución, en cumplimiento al artículo 3º del Decreto Supremo Nº 002-2007-PCM. (Conclusión 4)

lunes, 22 de febrero de 2010

AMENAZAS Y PROBLEMAS EN EL USO DE LAS TECNOLOGÍAS DE INFORMACIÓN. SEGURIDAD CONTROL Y AUDITORIA

AMENAZAS Y PROBLEMAS EN EL USO DE LAS TECNOLOGÍAS DE INFORMACIÓN. SEGURIDAD CONTROL Y AUDITORIA

Actualmente, las organizaciones modernas necesitan dotar sus sistemas e infraestructuras informáticas de las políticas y medidas de protección más adecuadas que garanticen el continuo desarrollo y sostenibilidad de sus actividades, en este sentido cobra especial importancia que puedan contar con profesionales especializados en las nuevas tecnologías de seguridad que implementen y gestionen de manera eficaz sus sistemas. Las universidades o instituciones abocadas a preparar personal profesional persiguen como uno de sus máximos objetivos, poder convertir al participante en un auténtico experto en seguridad, con lo que pueda hacer frente a una de las profesiones más demandadas y competitivas del mercado laboral actual.
El empresario desea cada día más, que la persona contratada afronte desde el primer momento los problemas que se le plantean, dándoles una solución rápida y eficaz.
Seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia. Conviene aclarar que no siendo posible la certeza absoluta, el elemento de riesgo esta siempre presente, independiente de las medidas que tomemos, por lo que debemos hablar de niveles de seguridad. La seguridad absoluta no es posible y en adelante entenderemos que la seguridad informática es un conjunto de técnicas encaminadas a obtener altos niveles de seguridad en los sistemas informáticos. Además, la seguridad informática precisa de un nivel organizativo, por lo que diremos que:

Sistema de Seguridad = TECNOLOGIA + ORGANIZACION

Lo importante es proteger la información…!
Si bien es cierto que todos los componentes de un sistema informático están expuestos a un ataque (hardware, software y datos) son los datos y la información los sujetos principales de protección de las técnicas de seguridad. La seguridad informática se dedica principalmente a proteger la Confidencialidad, la Integridad y Disponibilidad de la información.
Confidencialidad: La confidencialidad se refiere a que la información solo puede ser conocida por individuos autorizados. Existen infinidad de posibles ataques contra la privacidad, especialmente en la comunicación de los datos. La transmisión a través de un medio presenta múltiples oportunidades para ser interceptada y copiada: las líneas "pinchadas" la intercepción o recepción electromagnética no autorizada o la simple intrusión directa en los equipos donde la información está físicamente almacenada

Integridad: La integridad se refiere a la seguridad de que una información no ha sido alterada, borrada, reordenada, copiada, etc., bien durante el proceso de transmisión o en su propio equipo de origen. Es un riesgo común que el atacante al no poder descifrar un paquete de información y, sabiendo que es importante, simplemente lo intercepte y lo borre.
Disponibilidad: La disponibilidad de la información se refiere a la seguridad que la información pueda ser recuperada en el momento que se necesite, esto es, evitar su pérdida o bloqueo, bien sea por ataque doloso, mala operación accidental o situaciones fortuitas o de fuerza mayor.
Otros problemas comunes:
Otros problemas importantes de seguridad son la autentificación, es decir la prevención de suplantaciones, que se garantice que quien firma un mensaje es realmente quien dice ser; el no repudio, o sea que alguien niegue haber enviado una determinada información (que efectivamente envió) y los controles de acceso, esto es quien tiene autorización y quien no para acceder a una parte de la información.
Finalmente se tiene el problema de la verificación de la propiedad de la información, es decir que una vez que se ha detectado un fraude determinar la procedencia de la información.
Daños no intencionados:
No todos los riesgos que amenazan la información son de origen dañino. Es por ello que las medidas de seguridad no deben limitarse a la mera protección contra ataques e intrusiones de terceros, pues dentro de la misma organización y por parte de individuos de confianza existen riesgos contra la disponibilidad de la información ya sea por negligencia, descuido, ignorancia o cualquier otro tipo de mala práctica, la información puede ser alterada, sustituida o permanentemente borrada. Además están siempre presentes los riesgos de pérdida o alteración por virus o situaciones fortuitas de fuerza mayor, tales como incendios, inundaciones o catástrofes naturales.
- Las técnicas de respaldo y los sistemas redundantes
Los sistemas de respaldo (backup) y los sistemas redundantes son dos técnicas para proteger los datos contra pérdida por borrado accidental o desastres fortuitos. Ambos sistemas son complementarios en cuanto a la seguridad que ofrecen ya que tanto los respaldos como la redundancia, por si solos, no cubren toda la necesidad.
Redundancia: los sistemas RAID
Un RAID es un conjunto de unidades de disco que aparecen lógicamente como si fueran un solo disco. Así los datos, distribuidos en bandas, se dividen entre dos o más unidades. Esta técnica incrementa el rendimiento y proporciona una redundancia que protege contra el fallo de uno de los discos de la formación. Existen varios niveles RAID a partir del nivel 0, en el que los datos se dispersan en varias unidades pero no hay redundancia (gran rendimiento pero nula seguridad). Luego el nivel 1 o mirroring (espejo) en el cual los datos se escriben duplicados en distintas unidades, este método no incrementa el rendimiento pero si la seguridad y es, de hecho uno de los más utilizados. Los demás niveles RAID son una combinación de los conceptos anteriores y buscan aumentar la seguridad y el rendimiento simultáneamente.
Existen sistemas operativos, que ofrecen administración RAID incorporada, como por ejemplo Windows NT que ofrece los niveles 0, 1 y 5. Como es obvio si se implementa el nivel 1 (discos espejo, donde todo lo que se escribe en un disco es duplicado automáticamente), la duplicación debe ser en un disco físico diferente.
Tolerancia a fallos: La tolerancia a fallos es la capacidad de un sistema a responder a un suceso inesperado, como puede ser un fallo de suministro eléctrico o un fallo de hardware de forma que no se pierdan datos. Cabe señalar que la redundancia no protege contra el borrado accidental, la operación negligente, etc. ya que cualquier operación (aún las erróneas) es automáticamente duplicada en todas las unidades. Así, la redundancia, junto con los sistemas de alimentación ininterrumpida (UPS y grupos electrógenos) proporcionan seguridad solamente en caso de cortes de suministro o fallos del hardware.
- El "backup"
El "backup" consiste en realizar copias de seguridad de la información. Estas copias pueden realizarse de forma manual y periódica. Pero, ¿cual es el objeto de hacer copias manualmente si tenemos un sistema redundante?. La ventaja de los "backups" es que por efectuarse según ciertos períodos, la información respaldada no es exactamente igual a la actual. Esto permite cierta protección contra los errores humanos, borrado accidental o uso negligente ya que si nos damos cuenta a tiempo (esto es, antes de que se haga un "backup" del error) podremos recuperar los datos con cierto desfase de tiempo y solo será necesario actualizar ese desfase.
Hay multitud de sistemas de copia de seguridad. Las más recomendables son las que dejan dos desfases (diarios y semanales por ejemplo) ya que proporcionan una mejor seguridad, i.e. si se copió el error en el primer período aún nos queda un segundo para recuperar.

- Virus:
Finalmente tenemos las amenazas de los virus y programas troyanos. Los mecanismos conocidos hasta el momento para la propagación de virus son los archivos ejecutables (con extensión .exe, .com o .bat) y los componentes de Microsoft Office que aceptan macros con el lenguaje Visual Basic para Aplicaciones (principalmente Word y Excel con macros). Los troyanos se propagan a través de archivos ejecutables. Así la única forma conocida en que un virus puede instalarse en un equipo es:

1.- Ejecutando un programa infectado, ya sea directamente desde un diskette, bajado desde Internet o abierto desde un "attach" recibido por correo electrónico
2.- Abriendo un documento de MS-Office 97 (o superior) teniendo deshabilitada o haciendo caso omiso a la alerta contra macrovirus habilitada por defecto en Office.
Es decir que las precauciones elementales contra la adquisición de un virus son:
1.- No usar programas grabados en diskette (particularmente juegos o utilidades) de procedencia desconocida.
2.- No usar programas bajados de sitios poco confiables de Internet.
3.- No abrir attach de correo electrónico cuyo contenido o remitente se desconozcan o no sean de confianza.
- Diferencia entre virus y troyanos
-Existe una gran variedad de virus (varios miles, de hecho) cuyos efectos van desde los simplemente molestos hasta los que destruyen información específica o bien toda la contenida en el disco duro. Lo característico de los virus es que una vez que se instalan en el ordenador pasan largo tiempo sin provocar ningún efecto, aparte de infectar a todos los demás programas que se ejecuten. Después de este período el virus actúa sobre el equipo en que estaba instalado.
-Los troyanos son programas que permiten a extraños intervenir en un ordenador remoto que está conectado a internet, es lo que se conoce como "hackear" un computador remoto. Existen una multitud de programas que permiten hacer esto como es netbus, mere, back oriffice, Backdoor.SubSeven.20, etc.
Pese a sus diferentes efectos, virus y troyanos comparten características comunes en su forma de operar y propagarse, pero cabe señalar que los antivirus actuales detectan indistintamente virus y troyanos.
- Métodos de Protección Contra Intrusiones Remotas :
En su aspecto más básico, la protección contra "cabayos de troya" se basa en el uso de antivirus que tienen la capacidad de detectar los troyanos más conocidos.
Sin embargo existe la posibilidad de ataques más sofisticados por lo que se hace necesario el uso de software del tipo cortafuegos (firewalls) o detectores de Intrusiones, que monitorizan los intentos de introducirse a un sistema sin la debida autorización (ataques a la Intranet).
Estos detectores pueden estar basados en los Host (Omni Guard, Stalker y otros) o en la red (Real Secure, Cyber Cop, Net Ranger). La detección de intrusos es bastante cara y constituye solo parte de un sistema completo de seguridad, que puede complementarse con sistemas de autentificación fuerte como Safeguard VPN
La Seguridad es un Problema Integral :
Los problemas de seguridad informática no pueden ser tratados aisladamente ya que la seguridad de todo el sistema es igual a la de su punto más débil. Al asegurar nuestra casa no sacamos nada con ponerle una puerta blindada con sofisticada cerradura si dejamos las ventanas sin protección. De manera similar el uso de sofisticados algoritmos y métodos criptográficos es inútil si no garantizamos la confidencialidad de las estaciones de trabajo.
Por otra parte existe algo que los hackers llaman "Ingenieria Social" que consiste simplemente en conseguir -mediante engaño- que los usuarios autorizados revelen sus passwords. Por lo tanto, la educación de los usuarios es fundamental para que la tecnología de seguridad pueda funcionar. Es evidente que por mucha tecnología de seguridad que se implante en una organización, si no existe una clara disposición por parte de la Dirección General y una cultura a nivel de usuarios, no se conseguirán los objetivos perseguidos con la implantación de un sistema de seguridad.

Controles
Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos.
Clasificación General de los Controles:
Controles Preventivos
Controles Detectivos
Controles Correctivos
Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones
Sistemas de claves de acceso
Controles Detectivos
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditoría
Procedimientos de validación
Controles Detectivos
Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores.
Principales Controles Físicos:
Controles particulares tanto en la parte física como en la lógica se detallan a continuación:
Autenticidad
Permiten verificar la identidad
Passwords
Firmas digitales
Exactitud
Aseguran la coherencia de los datos
Validación de campos
Validación de excesos
Totalidad
Evitan la omisión de registros así como garantizan la conclusión de un proceso de envió Conteo de registros
Cifras de control
Redundancia
Evitan la duplicidad de datos
Cancelación de lotes
Verificación de secuencias
Privacidad
Aseguran la protección de los datos
Compactación
Encriptación
Existencia
Aseguran la disponibilidad de los datos
Bitácora de estados
Mantenimiento de activos
Principales Controles Físicos :
- Protección de Activos
Destrucción o corrupción de información o del hardware
Extintores
Passwords
Efectividad
Aseguran el logro de los objetivos
Encuestas de satisfacción
Medición de niveles de servicio
ficiencia
Aseguran el uso óptimo de los recursos
Programas monitores
Análisis costo-beneficio
Controles Automáticos o Lógicos:
Periodicidad de cambio de claves de acceso
Los cambios de las claves de acceso a los programas se deben realizar periódicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente.
El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación.
Por lo tanto se recomienda cambiar claves por lo menos semanalmente o quincenalmente.
Combinación de alfanuméricos en claves de acceso
No es conveniente que la clave este compuesta por códigos de empleados, ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave
Para redefinir claves es necesario considerar los tipos de claves que existen:
Individuales
Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio.
Confidenciales
De forma confidencial los usuarios deberán ser instruidos formalmente respecto al uso de las claves.
No significativas
Las claves no deben corresponder a números secuenciales ni a nombres o fechas.
Verificación de datos de entrada
Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión; tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango.


Conteo de registros
Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados.
Totales de Control
Se realiza mediante la creación de totales de línea, columnas, cantidad de formularios, cifras de control, etc. , y automáticamente verificar con un campo en el cual se van acumulando los registros, separando solo aquellos formularios o registros con diferencias.
Verificación de límites
Consiste en la verificación automática de tablas, códigos, límites mínimos y máximos o bajo determinadas condiciones dadas previamente.
Verificación de secuencias
En ciertos procesos los registros deben observar cierta secuencia numerica o alfabética, ascendente o descendente, esta verificación debe hacerse mediante rutinas independientes del programa en si.
Dígito auto verificador:
Consiste en incluir un dígito adicional a una codificación, el mismo que es resultado de la aplicación de un algoritmo o formula, conocido como MODULOS, que detecta la corrección o no del código. Tal es el caso por ejemplo del decimo dígito de la cédula de identidad, calculado con el modulo 10 o el ultimo dígito del RUC calculado con el módulo 11.
Utilizar software de seguridad en los microcomputadores
El software de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo.
Adicionalmente, este software permite reforzar la segregación de funciones y la confidencialidad de la información mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que están autorizados.
Programas de este tipo son: WACHDOG, LATTICE,SECRET DISK, entre otros.
Controles administrativos en un ambiente de Procesamiento de Datos
La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma:
1.- Controles de Preinstalación
2.- Controles de Organización y Planificación
3.- Controles de Sistemas en Desarrollo y Producción
4.- Controles de Procesamiento
5.- Controles de Operación
6.- Controles de uso de Microcomputadores
Controles de Preinstalación
Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes.
Objetivos:
Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.
Garantizar la selección adecuada de equipos y sistemas de computación
Asegurar la elaboración de un plan de actividades previo a la instalación
Acciones a seguir:
Elaboración de un informe técnico en el que se justifique la adquisición del equipo, software y servicios de computación, incluyendo un estudio costo-beneficio.
Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación
-Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables) el mismo que debe contar con la aprobación de los proveedores del equipo.
-Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales.
Efectuar las acciones necesarias para una mayor participación de proveedores.
Asegurar respaldo de mantenimiento y asistencia técnica.
Controles de Organización y Planificación: Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como:
Diseñar un sistema
Elaborar los programas
Operar el sistema
Control de calidad
Se debe evitar que una misma persona tenga el control de toda una operación.
Es importante la utilización óptima de recursos en el PAD mediante la preparación de planes a ser evaluados continuamente
La unidad informática debe estar al más alto nivel de la pirámide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva.
Las funciones de operación, programación y diseño de sistemas deben estar claramente delimitadas.
Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas.
Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento.
El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito.
Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluación y ajustes periódicos "Plan Maestro de Informática"
Debe existir una participación efectiva de directivos, usuarios y personal del PAD en la planificación y evaluación del cumplimiento del plan.
Las instrucciones deben impartirse por escrito
Controles de Sistema en Desarrollo y Producción
Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados.
Acciones a seguir:
Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio
El personal de auditoría interna/control debe formar parte del grupo de diseño para sugerir y solicitar la implantación de rutinas de control
El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos, metodologías estándares, procedimientos y en general a normatividad escrita y aprobada.
Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores.
Los programas antes de pasar a Producción deben ser probados con datos que agoten todas las excepciones posibles.
Todos los sistemas deben estar debidamente documentados y actualizados. La documentación deberá contener:
Informe de factibilidad
Diagrama de bloque
Diagrama de lógica del programa
Objetivos del programa
Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobación de modificaciones
Formatos de salida
Resultados de pruebas realizadas
Implantar procedimientos de solicitud, aprobación y ejecución de cambios a programas, formatos de los sistemas en desarrollo.
El sistema concluido será entregado al usuario previo entrenamiento y elaboración de los manuales de operación respectivos
Controles de Procesamiento
Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para:
• Asegurar que todos los datos sean procesados
• Garantizar la exactitud de los datos procesados
• Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría
• Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.
Acciones a seguir:
Validación de datos de entrada previo procesamiento debe ser realizada en forma automática: clave, dígito autoverificador, totales de lotes, etc.
Preparación de datos de entrada debe ser responsabilidad de usuarios y consecuentemente su corrección.
Recepción de datos de entrada y distribución de información de salida debe obedecer a un horario elaborado en coordinación con el usuario, realizando un debido control de calidad.
Adoptar acciones necesarias para correcciones de errores.
Analizar conveniencia costo-beneficio de estandarización de formularios, fuente para agilitar la captura de datos y minimizar errores.
Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema.
Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la información y el buen servicio a usuarios
Controles de Operación
Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento, la administración de la cintoteca y la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas on line.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso
Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD
Garantizar la integridad de los recursos informáticos.
Asegurar la utilización adecuada de equipos acorde a planes y objetivos
Acciones a seguir:
El acceso al centro de cómputo debe contar con las seguridades necesarias para reservar el ingreso al personal autorizado
Implantar claves o password para garantizar operación de consola y equipo central (mainframe), a personal autorizado.
Formular políticas respecto a seguridad, privacidad y protección de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violación y como responder ante esos eventos.
Mantener un registro permanente (bitácora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos.
Los operadores del equipo central deben estar entrenados para recuperar o restaurar información en caso de destrucción de archivos.
Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados, preferentemente en bóvedas de bancos. Se deben implantar calendarios de operación a fin de establecer prioridades de proceso.
Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, etc.
El proveedor de hardware y software deberá proporcionar lo siguiente:
Manual de operación de equipos
Manual de lenguaje de programación
Manual de utilitarios disponibles
Manual de Sistemas operativos
Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, asi como extintores de incendio, conexiones eléctricas seguras, entre otras.
Instalar equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía.
Contratar pólizas de seguros para proteger la información, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operación.
Controles en el uso del Microcomputador
Es la tarea más difícil pues son equipos mas vulnerables, de fácil acceso, de fácil explotación pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información.
Acciones a seguir:
Adquisición de equipos de protección como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo
Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo.
Establecer procedimientos para obtención de backups de paquetes y de archivos de datos.
Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa.
Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos.
Propender a la estandarización del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas.
Analizados los distintos tipos de controles que se aplican en la Auditoría de Sistemas efectuaremos a continuación el análisis de casos de situaciones hipotéticas planteadas como problemáticas en distintas empresas , con la finalidad de efectuar el análisis del caso e identificar las acciones que se deberían implementar .