Objetivos de la Seguridad en Informática Proteger la integridad, exactitud y confidencialidad de la información. Proteger los activos ante desastres provocados por la mano del hombre y de actos hostiles. Proteger a la organización contra situaciones externas como desastres natu­rales y sabotajes. En caso de desastre, contar con los planes y políticas de contingencias para lograr una pronta recuperación. Contar con los seguros necesarios que cubran las pérdidas económicas en caso de desastre.

Motivos de los delitos Beneficio personal Beneficios para la organización Síndrome de Robín Hood (por beneficiar a otras personas). El individuo tiene problemas financieros. La computadora no tiene sentimientos Odio a la organización (revancha) Equivocación de ego (deseo de sobresalir en alguna forma).

Factores de incremento de crímenes El aumento del número de personas que se encuentran estudiando computación El aumento del número de empleados que tienen acceso a los equipos. La facilidad en el uso de los equipos de cómputo. El incremento en la concentración del número de aplicaciones y, consecuente­mente, de la información. El incremento de redes y de facilidades para utilizar las computadoras «l cualquier lugar y tiempo.

SEGURIDAD LÓGICA Y CONFIDENCIALIDAD Tipos de Usuarios Propietario Administrador Usuario Principal Usuario de Consulta Usuario de Explotación Usuario de Auditoría

SEGURIDAD LÓGICA Y CONFIDENCIALIDAD Se debe tomar en cuenta lo siguiente: Integridad: responsabilidad de personas autorizadas para modificar los datos o programas Confidencialidad: responsabilidad de personas para consultar o bajar archivos importantes para microcomputadoras (usuario de explotación) Disponibilidad: Responsabilidad de individuos autorizados para alterar los parámetros de control de acceso al sistema operativo, al sistema manejador de base de datos, al monitoreo de teleproceso o al software de telecomunicaciones (usuario administrador)

Controles para minimizar riesgos Se deben considerar los siguientes factores: El valor de los datos siendo procesados La probabilidad de que ocurra un acceso no autorizado Las consecuencias para la organización si ocurre un acceso no autorizado. El riesgo y repercusiones en caso de que un usuario no autorizado utilice la información. La seguridad lógica abarca las siguientes áreas: Rutas de acceso Claves de Acceso Software de control de acceso Encriptamiento

SEGURIDAD DEL PERSONAL Es conveniente hacerle exámenes psicológicos y médicos y tener en cuenta los antecedentes de trabajo. Personal de informática, debe tener desarrollado un alto sistema ético y de lealtad. Se debe tener en cuenta adecuadas políticas de trabajo con el personal (vacaciones) Se debe tener en cuenta políticas de rotación del personal que disminuyan la posibilidad de fraude Se deberá evaluar la motivación al personal. El programador honesto en ocasiones el mayor riesgo de fraude o mal uso de la información está dentro del mismo personal honesto y con ética.

SEGURIDAD FÍSICA Ubicación del equipo de cómputo Piso Elevado o Cámara plena Aire acondicionado Instalación eléctrica Seguridad en caso de desastres provocados por agua Seguridad de autorización de accesos Detección de humo y fuego de extintores Temperatura y humedad

SEGURIDAD EN CONTRA DE VIRUS Daños más comunes Suplantación de datos Eliminación aleatoria Destrucción de producción Modificación de los códigos de protección Bloqueo de redes Cambios informáticos entre usuarios Por medio de un canal encubierto, cambiar, accesar o difundir claves de seguridad. Modificación de información de salida o de pantallas Saturación, reducción de disponibilidad o cambio de parámetros. Combinación de los anteriores

SEGURIDAD EN CONTRA DE VIRUS Para evitar que los virus se diseminen por todo el sistema se debe: Utilizar paquetes y programas originales Limitar la utilización en común de usuarios Limitar el tránsito de usuarios Limitar la programación y controlarla adecuadamente

SEGURIDAD EN CONTRA DE VIRUS Elementos a auditar: Verificar que todas las PC tengan analizadores y desinfectadores de virus instalados y actualizados Sistemas aislados Prohibir utilización de disquetes externos Se debe vigilar como parte esencial y primaria una defensa contra la introducción de virus El equipo tiene la responsabilidad de detectar cualquier problema de virus, capacitar a los usuarios, determinar las precauciones técnicas necesarias, y asegurar que los sistemas técnicos y humanos funcionen adecuadamente en caso de una emergencia

SEGUROS Verificar las fechas de vencimiento de las pólizas de seguros en caso de desastres. Se debe cubrir todo el equipo y su instalación Se debe tener en cuenta que existen riesgos que son difíciles de evaluar y de asegurar, como la negligencia El costo de los equipos varía de acuerdo a los índices de inflación El seguro debe cubrir tantos daños causados como factores externos (terremotos, inundación, etc) e internos (daños ocasionados por negligencias de los operadores, daños por aire acondicionado, etc)

SEGURIDAD EN LA UTILIZACIÓN DEL EQUIPO Restringir acceso a los programas o archivos Los operadores deben trabajar con poca supervisión y sin la participación Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldos inadecuados. No debe permitirse la entrada a la red a personas no autorizadas, ni a usar ' las terminales En los casos de información confidencial, ésta debe usarse, de ser posible, en forma codificada o criptografiada. Se debe realizar periódicamente una verificación física del uso de termina­les y de los reportes obtenidos. Se debe monitorear periódicamente el uso que se les está dando a las terminales. Se deben hacer auditorias periódicas sobre el área de operación y la utiliza­ción de las terminales. El usuario es el responsable de los datos, por lo que debe asegurarse que los datos recolectados sean procesados completamente. Esto sólo se logrará por medio de los controles adecuados, los cuales deben ser definidos desde el momento del diseño general del sistema.

SEGURIDAD EN LA UTILIZACIÓN DEL EQUIPO Debe existir una perfecta división de responsabilidades entre los capturistas de datos y los operadores de computadora, y entre los operadores y las personas responsables de las librerías. Deben existir registros que reflejen la transferencia de información entre las diferentes funciones de un sistema. Debe controlarse la distribución de las salidas (reportes, cintas, etcétera). Se deben guardar copias de los archivos y programas en lugares ajenos al centro de cómputo y en las instalaciones de alta seguridad; por ejemplo: los bancos. Se debe tener un estricto control sobre el transporte de discos y cintas de la sala de cómputo al local de almacenaje distante. Se deben identificar y controlar perfectamente los archivos. Se debe tener estricto control sobre el acceso físico a los archivos. En el caso de programas, se debe asignar a cada uno de ellos una clave que identifique el sistema, subsistema, programa y versión.

SEGURIDAD AL RESTAURAR EL EQUIPO En algunos casos es conveniente no realizar ninguna acción y reanudar el proceso. Mediante copias periódicas de los archivos se puede reanudar un proceso a partir de una fecha determinada. El procesamiento anterior complementado con un registro de las tran­sacciones que afectaron los archivos permitirá retroceder en los movimientos realizados a un archivo al punto de tener la seguridad del contenido del mismo y a partir de éste reanudar el proceso.

SEGURIDAD AL RESTAURAR EL EQUIPO Analizar el flujo de datos y procedimientos y cambiar el proceso nor­mal por un proceso alterno de emergencia. Reconfigurar los recursos disponibles/ tanto de equipo y sistemas como de comunicaciones Cualquier procedimiento que se determine que es el adecuado para un caso de emergencia deberá ser planeado y probado previamente.

OBJETIVOS DEL PLAN DE CONTINGENCIAS Entre los objetivos del plan de contingencia se encuentran: Minimizar el impacto del desastre en la organización. Establecer tareas para evaluar los procesos indispensables de la organi­zación. Evaluar los procesos de la organización, con el apoyo y autorización res­pectivos a través de una buena metodología. Determinar el costo del plan de recuperación, incluyendo la capacitación y la organización para restablecer los procesos críticos de la organización cuan­do ocurra una interrupción de las operaciones.

METODOLOGÍA DEL PLAN DE CONTINGENCIA La naturaleza, la extensión y la complejidad de las actividades de la organización. El grado de riesgo al que la organización está expuesto. El tamaño de las instalaciones de la organización (centros de cómputo y número de usuarios). La evaluación de los procesos considerados como críticos. El número de procesos críticos. La formulación de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido. La justificación del costo de implantar las medidas de seguridad.

ETAPAS DEL PROYECTO DEL PLAN DE CONTINGENCIA Análisis del impacto en la organización. Selección de la estrategia. Preparación del plan. Prueba. Mantenimiento.