SEGURIDAD OPERACIONAL
La seguridad operacional consiste en las diferentes políticas y procedimientos implementados por la administración de la instalación computacional.
Un aspecto crítico es la selección y organización del personal:
Se otorgan distintos conjuntos de responsabilidades.
No es necesario que se conozca la totalidad del sistema para cumplir con esas responsabilidades.
.
Objetivos de la seguridad
Dicha seguridad tiene como objetivo principal minimizar los riesgos en
los recursos informáticos y así consolidar las diferentes operaciones de la
organización, al tiempo que se disminuyen los costos. Así mismo preservar la
confiabilidad de los documentos, registros y archivos. De manera que sean
permanentes, que estén disponibles y para que solo las personas
autorizadas puedan acceder a ellos en cualquier momento. Es necesario
destacar que también garantiza la originalidad de los documentos, todas
estas características brindan al usuario confianza para aceptar el documento
requerido
Generalmente, los sistemas de información incluyen todos los datos de una compañía y también el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos.
Generalmente, la seguridad informática consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto.
La seguridad tiene cinco objetivos:
- Integridad: garantizar que los datos sean los que se supone que son.
- Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian.
- Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información.
- Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
- Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos.
Controles operativos
Aplicar controles operativos en un ambiente de Procesamiento de Datos, la máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma:
1.- Controles de Preinstalación
2.- Controles de Organización y Planificación
3.- Controles de Sistemas en Desarrollo y Producción
4.- Controles de Procesamiento
5.- Controles de Operación
6.- Controles de uso de Microcomputadores
1.- Controles de Preinstalación
Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes
2.- Controles de organización y Planificación
Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como:
- Diseñar un sistema
- Elaborar los programas
- Operar el sistema
- Control de calidad
Se debe evitar que una misma persona tenga el control de toda una operación.
Acciones a seguir
Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas.
Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento.
3.- Controles de Sistema en Desarrollo y Producción
Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados.
Acciones a seguir:
Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio
El personal de auditoría interna/control debe formar parte del grupo de diseño para sugerir y solicitar la implantación de rutinas de control
El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos, metodologías estándares, procedimientos y en general a normatividad escrita y aprobada.
Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores.
4.- Controles de Procesamiento
Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para:
Asegurar que todos los datos sean procesados.
Garantizar la exactitud de los datos procesados.
Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría
Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.
Acciones a seguir:
Recepción de datos de entrada y distribución de información de salida debe obedecer a un horario elaborado en coordinación con el usuario, realizando un debido control de calidad.
Adoptar acciones necesaria para correcciones de errores.
Analizar conveniencia costo-beneficio de estandarización de formularios, fuente para agilitar la captura de datos y minimizar errores.
Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema.
Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la información y el buen servicio a usuarios.
5.- Controles de Operación
Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento, la administración de la cintoteca y la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas on line.Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso
Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD
Garantizar la integridad de los recursos informáticos.
Asegurar la utilización adecuada de equipos acorde a planes y objetivos.
Acciones a seguir:
Los operadores del equipo central deben estar entrenados para recuperar o restaurar información en caso de destrucción de archivos.
Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados, preferentemente en bóvedas de bancos.
Se deben implantar calendarios de operación a fin de establecer prioridades de proceso.
Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, etc.
El proveedor de hardware y software deberá proporcionar lo siguiente:
- Manual de operación de equipos
- Manual de lenguaje de programación
- Manual de utilitarios disponibles
- Manual de Sistemas operativos
6.- Controles en el uso del Microcomputador
Es la tarea más difícil pues son equipos más vulnerables, de fácil acceso, de fácil explotación pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información.
Acciones a seguir:
Adquisición de equipos de protección como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo. Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo.
Establecer procedimientos para obtención de backups de paquetes y de archivos de datos.
Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa.
Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos.
Propender a la estandarización del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas
.
Revisión de Centros de Cómputo
Consiste en revisar los controles en las operaciones del centro de procesamiento de información en los siguientes aspectos:
1.- Revisión de controles en el equipo
Se hace para verificar si existen formas adecuadas de detectar errores de procesamiento, prevenir accesos no autorizados y mantener un registro detallado de todas las actividades del computador que debe ser analizado periódicamente.
2.- Revisión de programas de operación
Se verifica que el cronograma de actividades para procesar la información asegure la utilización efectiva del computador.
3.- Revisión de controles ambientales
Se hace para verificar si los equipos tienen un cuidado adecuado, es decir si se cuenta con deshumidificadores, aire acondicionado, fuentes de energía continua, extintores de incendios, etc.
4.- Revisión del plan de mantenimiento
Aquí se verifica que todos los equipos principales tengan un adecuado mantenimiento que garantice su funcionamiento continuo.
5.- Revisión del sistema de administración de archivos
Se hace para verificar que existan formas adecuadas de organizar los archivos en el computador, que estén respaldados, así como asegurar que el uso que le dan es el autorizado.
6.- Revisión del plan de contingencias
Aquí se verifica si es adecuado el plan de recupero en caso de desastre, el cual se detalla mas adelante.
No hay comentarios:
Publicar un comentario