Es clara la diferencia que puede tomar la seguridad de la
información tanto para organizaciones
como para los individuos, esto quiere decir que las
organizaciones buscan proteger los recursos de
la
organización como son la información, las
comunicaciones, el hardware y el software que le pertenecen.
Para lograrlo se seleccionan y establecen los controles
apropiados. La Seguridad de la información ayuda a la
misión
de la organización protegiendo sus recursos
físicos y financieros, reputación, posición
legal, empleados y otros activos tangibles
e intangibles, el otro punto de vista existe para los individuos
cuyo propósito es proteger la privacidad e identidad de
los mismos evitando que su información caiga en la manos
no adecuadas y sea usada de forma no apropiada.
Tenga en cuenta que muchas empresas para
evitar el acceso a su información y el daño
que pueda ser producida a la misma, se utilizan potentes antivirus que
permiten la detección de virus y su
erradicación, sólo se debe tener en cuenta por el
usuario cuál es el más apropiado para manejar y el
que cubre sus necesidades.
Entonces en conclusión, seguridad, describe las
políticas, los procedimientos y
las medidas técnicas
que se emplean para prevenir acceso no autorizado,
alteración, robo daño físico a los sistemas de
información.
1.1. Problemas en
los sistemas
Tenga en cuenta que muchos problemas en los sistemas de
información se dan por errores propios de los sistemas y
que permiten que se tenga acceso violando las normas
establecidas, esto quiere decir por ejemplo los errores de
programación, porque al ser un sistema muy
grande en ocasiones no son corregidos totalmente los errores y
pueden a futuro crear inestabilidad en el sistema. Según
[3] los estudios muestran que aproximadamente 60% de los errores
se detectan durante las pruebas y son
resultado de especificaciones omitidas, ambiguas, erróneas
o no perceptibles en la documentación del diseño.
Otra de las razones por las que los sistemas de
información pueden ser inestables, es por el mantenimiento,
ya que es la fase más costosa de todo proyecto,
además porque casi la mitad del tiempo se
dedica a realizar ajustes y mantenimiento a los sistemas.
Es por tanto que el proceso de
certificar la calidad es
esencial para el proceso de desarrollo de
un sistema de
información, ya que podrá prevenir errores
durante la captura de datos.
Y es aquí cuando se empieza a hablar de controles para
la custodia de la información; es importante detallar que
un control
según Laudon en su libro [3] son
todos los métodos,
políticas y procedimientos que aseguran la
protección de los activos de la organización, la
exactitud y confiabilidad de sus registros y el
apego de sus operaciones a los
estándares que defina la
administración. Es así que el control de un
sistema de información debe ser una parte integral de su
diseño. Los usuarios y constructores de sistemas deben
prestar una estrecha atención a los controles durante toda la
vida del sistema.
Pero no solo el control es importante, así mismo se
debe destacar que existen dos tipos de controles, los generales y
los de aplicaciones. Los primeros gobiernan el diseño, la
seguridad y el uso de programas de
computación y la seguridad de archivos de datos
a lo largo de la infraestructura de tecnología
de la información; por otra parte los controles de
aplicaciones son más específicos para cada
aplicación computarizada. Tenga en cuenta que los
controles generales incluyen a su vez controles de software, de
hardware físico, controles de operaciones de
cómputo, controles de seguridad de datos, controles sobre
el proceso de implementación de sistemas y controles
administrativos.
Teniendo en cuenta este esquema actualmente existen proveedores de
servicios
administrativos (MSP) por su sigla en inglés
que proporcionan redes, sistemas, almacenamiento y
administración de seguridad para sus
clientes
suscriptores.
Es entonces como aparte de la seguridad que se debe tener en
cuenta para los aplicativos de software, también se debe
tener en cuenta la seguridad de componentes de hardware, para
esto se crearon los sistemas de detección de intrusos, que
son herramientas
para monitorear los puntos más vulnerables en una red, para detectar y
detener a los intrusos no autorizados.
Siguiendo con los conceptos se puede también tener en
cuenta que la información al ser manejada por varias
personas es importante mantenerla intacta, por lo que en busca de
este concepto, se crea
la encriptación, que desde la época árabe
viene funcionando y ha sido aplicada a los sistemas de
cómputo actuales, esto consiste en codificación para mensajes para que se
impida la lectura o
acceso sin autorización.
En este sentido también se debe de hablar de otro tipo
de seguridad implementada para las organizaciones y en concepto a
sus altos directivos o áreas específicas de la
compañía, esto es la aplicación de
certificados digitales que se pueden utilizar para establecer la
identidad de personas o de activos electrónicos,
igualmente protegen las transacciones en línea
proporcionando comunicación segura y encriptada.
Actualmente estos métodos de seguridad de la
información son utilizados por entidades financieras que
transmiten información importante a otras entidades
controladoras, así como por compañías donde
la información es valiosa y no puede ser conocida sino por
ciertas personas.
1.2. Técnicas de
aseguramiento del sistema
Como se nombro anteriormente actualmente se manejan varios
métodos para tener seguridad dentro de un sistema, tales
pueden ser:
- Codificar la información: Por medio de la
criptografía, contraseñas
difíciles de averiguar a partir de datos personales del
individuo. - Vigilancia de red.
- Tecnologías repelentes o protectoras: Manejar
firewalls, antispyware o sistemas de detección de
intrusos, antivirus. Llaves para protección de software,
etc. Mantener los sistemas de información con las
actualizaciones que más impacten en la seguridad.
1.3.Consideraciones de
software
Una persona o
compañía debe tener instalado en la máquina
únicamente el software necesario ya que esto permite
reducir los riesgos.
Así mismo tener controlado el software ya que asegura la
calidad de la procedencia del mismo (el software pirata o sin
garantías aumenta los riesgos).
En todo caso un inventario de
software proporciona un método
correcto de asegurar la reinstalación en caso de desastre.
El software con métodos de instalación
rápidos facilita también la reinstalación en
caso de contingencia.
Tenga en cuenta que en Internet existen actualmente
gran cantidad de páginas que advierten sobre seguridad y
muestran los virus riesgosos, antivirus existentes y
procedimientos para custodia de información
importante.
1.4. Consideraciones de una
red
Los puntos de entrada en la red son generalmente el correo,
las páginas
web y la entrada de ficheros desde discos, o de ordenadores
ajenos, como portátiles.
Mantener al máximo el número de recursos de red
sólo en modo lectura,
impide que ordenadores infectados propaguen virus. En el mismo
sentido se pueden reducir los permisos de los usuarios al
mínimo.
Se pueden centralizar los datos de forma que detectores de
virus en modo batch puedan trabajar durante el tiempo inactivo de
las máquinas.
Controlar y monitorizar el acceso a Internet puede detectar,
en fases de recuperación, cómo se ha introducido el
virus.
En este punto es importante recalcar que toda persona y/o
compañía es vulnerable en su seguridad pues como se
nombró desde un inicio no existe aún un sistema
100% seguro y
confiable.
2. AUDITORÍA DE SISTEMAS
La palabra auditoria viene del latín auditorius y de
esta proviene auditor, que tiene la virtud de oír y
revisar cuentas, pero
debe estar encaminado a un objetivo
Algunos autores proporcionan otros conceptos pero todos
coinciden en hacer énfasis en la revisión, evaluación
y elaboración de un informe para el
ejecutivo encaminado a un objetivo específico en el
ambiente
computacional y los sistemas.
A continuación se detallan algunos conceptos recogidos
de algunos expertos en la materia sobre
auditoria de sistemas:
- La verificación de controles en el procesamiento de
la información, desarrollo de sistemas e
instalación con el objetivo de evaluar su efectividad y
presentar recomendaciones a la gerencia. - La actividad dirigida a verificar y juzgar
información. - El examen y evaluación de los procesos del
Área de Procesamiento automático de datos (PAD) y
de la utilización de los recursos que en ellos
intervienen, para llegar a establecer el grado de eficiencia,
efectividad y economía de los sistemas computarizados
en una empresa y
presentar conclusiones y recomendaciones encaminadas a corregir
las deficiencias existentes y mejorarlas. - El proceso de recolección y evaluación de
evidencia para determinar si un sistema automatizado:
Salvaguarda activos, destrucción, uso no autorizado,
robo, mantiene integridad de información precisa,
información oportuna, confiable, alcanza metas, utiliza
los recursos adecuadamente, es eficiente en el procesamiento de
la información
- Es el examen o revisión de carácter objetivo (independiente),
crítico (evidencia), sistemático (normas),
selectivo (muestras) de las políticas, normas,
prácticas, funciones,
procesos, procedimientos e informes
relacionados con los sistemas de información
computarizados, con el fin de emitir una opinión
profesional (imparcial) con respecto a: eficiencia en el uso de
los recursos informáticos, validez de la
información, efectividad de los controles
establecidos
Tomando como referencia a [4] La auditoria en informática es la revisión y la
evaluación de los controles, sistemas, procedimientos de
informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la
organización que participan en el procesamiento de la
información, a fin de que por medio del
señalamiento de cursos alternativos se logre una
utilización más eficiente y segura de la
información que servirá para una adecuada toma de
decisiones.
La auditoria en informática deberá comprender no
sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento
específico, sino que además habrá de evaluar
los sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención
de información.
La auditoria en informática es de vital importancia
para el buen desempeño de los sistemas de
información, ya que proporciona los controles necesarios
para que los sistemas sean confiables y con un buen nivel de
seguridad. Además debe evaluar todo (informática,
organización de centros de información, hardware y
software).
Igualmente existen algunos tipos de auditoria diferentes a la
que en el presente trabajo
interesa, tales como auditoria financiera, auditoria
económica, auditoria operacional, auditoria fiscal,
auditoria administrativa.
2.1. Objetivos
Generales de una Auditoria de Sistemas
- Buscar una mejor relación costo-beneficio de los sistemas
automáticos o computarizados diseñados e
implantados. - Incrementar la satisfacción de los usuarios de los
sistemas computarizados. - Asegurar una mayor integridad, confidencialidad y
confiabilidad de la información mediante la
recomendación de seguridades y controles. - Conocer la situación actual del área
informática y las actividades y esfuerzos necesarios
para lograr los objetivos propuestos. - Seguridad de personal,
datos, hardware, software e instalaciones. - Apoyo de función
informática a las metas y objetivos de la
organización. - Seguridad, utilidad,
confianza, privacidad y disponibilidad en el ambiente
informático. - Minimizar existencias de riesgos en el uso de tecnología de información.
- Decisiones de inversión y gastos
innecesarios. - Capacitación y educación sobre controles en los sistemas
de información.
- Aumento considerable e injustificado del presupuesto del
PAD (Departamento de Procesamiento de
Datos). - Desconocimiento en el nivel directivo de la
situación informática de la
empresa. - Falta total o parcial de seguridades lógicas y
físicas que garanticen la integridad del personal,
equipos e información. - Descubrimiento de fraudes efectuados con el computador
- Falta de una planificación informática.
- Organización que no funciona correctamente, falta de
políticas, objetivos, normas, metodología, asignación de tareas
y adecuada administración del recurso humano. - Descontento general de los usuarios por incumplimiento de
plazos y mala calidad de los resultados - Falta de documentación o documentación
incompleta de sistemas que revela la dificultad de efectuar el
mantenimiento de los sistemas en producción.
2.3. Planeación
de la auditoria en informática
Para hacer una adecuada planeación de la auditoria en
informática, hay que seguir una serie de pasos previos que
permitirán dimensionar el tamaño y
características de área dentro del organismo a
auditar, sus sistemas, organización y equipo.
En el caso de la auditoria en informática, la
planeación es fundamental, pues habrá que hacerla
desde el punto de vista de los dos objetivos:
1. Evaluación de los sistemas y procedimientos.
2. Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se
requiere es obtener información general sobre la
organización y sobre la función de
informática a evaluar. Para ello es preciso hacer una
investigación preliminar y algunas entrevistas
previas, con base en esto planear el programa de
trabajo, el cual deberá incluir tiempo, costo, personal
necesario y documentos
auxiliares a solicitar o formular durante el desarrollo de la
misma.
2.4. Investigación
preliminar [4]
Se deberá observar el estado
general del área, su situación dentro de la
organización, si existe la información solicitada,
si es o no necesaria y la fecha de su última
actualización.
Se debe hacer la
investigación preliminar solicitando y revisando la
información de cada una de las áreas
basándose en los siguientes puntos:
ADMINISTRACIÓN: Se recopila la
información para obtener una visión general del
departamento por medio de observaciones, entrevistas preliminares
y solicitud de documentos para poder definir
el objetivo y alcances del departamento.
Para analizar y dimensionar la estructura por
auditar se debe solicitar a nivel del área de
informática objetivos a corto y largo plazo, recursos
materiales y
técnicos, solicitar documentos sobre los equipos,
número de ellos, localización y
características, estudios de viabilidad, número de
equipos, localización y las características (de los
equipos instalados y por instalar y programados), fechas de
instalación de los equipos y planes de instalación,
contratos
vigentes de compra, renta y servicio de
mantenimiento, contratos de seguros,
convenios que se tienen con otras instalaciones,
configuración de los equipos y capacidades actuales y
máximas, planes de expansión, ubicación
general de los equipos, políticas de operación,
políticas de uso de los equipos.
SISTEMAS: Descripción general de los sistemas
instalados y de los que estén por instalarse que contengan
volúmenes de información, manual de formas,
manual de
procedimientos de los sistemas, descripción genérica, diagramas de
entrada, archivos, salida, salidas, fecha de instalación
de los sistemas, proyecto de instalación de nuevos
sistemas.
En el momento de hacer la planeación de la auditoria o
bien su realización, se debe evaluar que pueden
presentarse las siguientes situaciones.
Se solicita la información y se ve que:
- No tiene y se necesita.
- No se tiene y no se necesita.
Se tiene la información pero:
- No se usa.
- Es incompleta.
- No esta actualizada.
- No es la adecuada.
- Se usa, está actualizada, es la adecuada y
está completa.
En el caso de No se tiene y no se necesita, se debe evaluar la
causa por la que no es necesaria. En el caso de No se tiene pero
es necesaria, se debe recomendar que se elabore de acuerdo con
las necesidades y con el uso que se le va a dar. En el caso de
que se tenga la información pero no se utilice, se debe
analizar por que no se usa. En caso de que se tenga la
información, se debe analizar si se usa, si está
actualizada, si es la adecuada y si está completa.
El éxito
del análisis crítico depende de las
consideraciones siguientes:
- Estudiar hechos y no opiniones (no se toman en cuenta los
rumores ni la información sin fundamento) - Investigar las causas, no los efectos.
- Atender razones, no excusas.
- No confiar en la memoria,
preguntar constantemente. - Criticar objetivamente y a fondo todos los informes y los
datos recabados.
Una de las partes más importantes dentro de la
planeación de la auditoria en informática es el
personal que deberá participar y sus
características.
Uno de los esquemas generalmente aceptados para tener un
adecuado control es que el personal que intervengan esté
debidamente capacitado, con alto sentido de moralidad, al
cual se le exija la optimización de recursos (eficiencia)
y se le retribuya o compense justamente por su trabajo.
Con estas bases se debe considerar las características
de conocimientos, práctica
profesional y capacitación que debe tener el personal que
intervendrá en la auditoria. En primer lugar se debe
pensar que hay personal asignado por la organización, con
el suficiente nivel para poder coordinar el desarrollo de la
auditoria, proporcionar toda la información que se
solicite y programar las reuniones y entrevistas requeridas.
Éste es un punto muy importante ya que, de no tener el
apoyo de la alta dirección, ni contar con un grupo
multidisciplinario en el cual estén presentes una o varias
personas del área a auditar, sería casi imposible
obtener información en el momento y con las
características deseadas.
También se debe contar con personas asignadas por los
usuarios para que en el momento que se solicite
información o bien se efectúe alguna entrevista de
comprobación de hipótesis, nos proporcionen aquello que se
esta solicitando, y complementen el grupo multidisciplinario, ya
que se debe analizar no sólo el punto de vista de la
dirección de informática, sino también el
del usuario del sistema.
Para completar el grupo, como colaboradores directos en la
realización de la auditoria se deben tener personas con
las siguientes características:
- Técnico en informática.
- Experiencia en el área de informática.
- Experiencia en operación y análisis de
sistemas. - Conocimientos de los sistemas más importantes.
En caso de sistemas complejos se deberá contar con
personal con conocimientos y experiencia en áreas
específicas como base de datos,
redes, etc. Lo anterior no significa que una sola persona tenga
los conocimientos y experiencias señaladas, pero si deben
intervenir una o varias personas con las características
apuntadas.
Una vez que se ha hecho la planeación, se puede
utilizar un formato en el que figura el organismo, las fases y
subfases que comprenden la descripción de la actividad, el
número de personas participantes, las fechas estimadas de
inicio y terminación, el número de días
hábiles y el número de días/hombre
estimado. El control del avance de la auditoria se puede llevar
mediante un informe, el cual nos permite cumplir con los
procedimientos de control y asegurar que el trabajo se
está llevando a cabo de acuerdo con el programa de
auditoria, con los recursos estimados y en el tiempo
señalado en la planeación.
Se requieren varios pasos para realizar una auditoria. El
auditor de sistemas debe evaluar los riesgos globales y luego
desarrollar un programa de auditoria que consta de objetivos de
control y procedimientos de auditoria que deben satisfacer esos
objetivos. El proceso de auditoria exige que el auditor de
sistemas reúna evidencia, evalúe fortalezas y
debilidades de los controles existentes basado en la evidencia
recopilada, y que prepare un informe de auditoria que presente
esos temas en forma objetiva a la gerencia. Asimismo, la gerencia
de auditoria debe garantizar una disponibilidad y
asignación adecuada de recursos para realizar el trabajo
de auditoria además de las revisiones de seguimiento sobre
las acciones
correctivas emprendidas por la gerencia.
Después de realizar los pasos anteriores y de acuerdo a
los resultados obtenidos, el auditor realizará un informe
resultante con observaciones y7o aclaraciones para llevara cabo
dentro de las áreas involucradas para el mejor
funcionamiento del sistema.
3. ESTÁNDARES DE SEGURIDAD DE LA
INFORMACIÓN
ISO/IEC 27000-series: La serie de normas ISO/IEC
27000 son estándares de seguridad publicados por la
Organización Internacional para la Estandarización
(ISO) y la
Comisión Electrotécnica Internacional (IEC).
La serie contiene las mejores prácticas recomendadas en
Seguridad de la información para desarrollar, implementar
y mantener especificaciones para los Sistemas de Gestión
de la Seguridad de la Información (SGSI).
COBIT: Objetivos de Control para la
información y Tecnologías relacionadas (COBIT, en
inglés: Control Objectives for Information and related
Technology) es un conjunto de mejores prácticas para el
manejo de información creado por la Asociación para
la Auditoria y Control de Sistemas de Información, (ISACA,
en inglés: Information Systems Audit and Control
Association), y el Instituto de Administración de las
Tecnologías de la Información (ITGI, en
inglés: IT Governance Institute) en 1992.
La misión de COBIT es "investigar, desarrollar,
publicar y promocionar un conjunto de objetivos de control
generalmente aceptados para las tecnologías de la
información que sean autorizados (dados por alguien con
autoridad),
actualizados, e internacionales para el uso del día a
día de los gestores de negocios
(también directivos) y auditores." Gestores, auditores, y
usuarios se benefician del desarrollo de COBIT porque les ayuda a
entender sus Sistemas de Información (o tecnologías
de la información) y decidir el nivel de seguridad y
control que es necesario para proteger los activos de sus
compañías mediante el desarrollo de un modelo de
administración de las tecnologías de la
información.
ITIL: La Information Technology Infrastructure
Library ("Biblioteca de
Infraestructura de Tecnologías de Información"),
frecuentemente abreviada ITIL, es un marco de trabajo de
las mejores prácticas destinadas a facilitar la entrega de
servicios de tecnologías de la información (TI) de
alta calidad. ITIL resume un extenso conjunto de procedimientos
de gestión ideados para ayudar a las organizaciones a
lograr calidad y eficiencia en las operaciones de TI. Estos
procedimientos son independientes del proveedor y han sido
desarrollados para servir de guía para que abarque toda
infraestructura, desarrollo y operaciones de TI.
4. BIBLIOGRAFÍA
[1] Wikipedia. "Seguridad
Informática". Disponible:
http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
[citado el 17 de Mayo de 2008]
[2] Wikipedia. "Seguridad de la información"
Disponible:
http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n
[citado el 17 de Mayo de 2008]
[3] Google. "Sistemas de
Información Gerencial". Disponible:
[citado 17 de Mayo de 2008]
[4] Gerencie.com. "Auditoria de sistemas de
información". Disponible:
http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html
[citado 17 de Mayo de 2008]
[5] Monografías.com. "Conceptos de la auditoria
de sistemas" Disponible: http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml
[citado 17 de Mayo de 2008]
Autor:
Paula Andrea Vizcaino
Paula Andrea Vizcaino, estudiante de XI semestre del
programa de Ingeniería
de Sistemas de la Fundación Universitaria Konrad
Lorenz.
Director: Jaimir Hurtado. Docente del programa de
ingeniería de sistemas de la
Fundación Universitaria Konrad Lorenz
Realizado en Bogotá, mayo 2008
 Página anterior | Volver al principio del trabajo | Página siguiente  |