UNIVERSIDAD AUTÓNOMA DE LOS ANDES UNIANDES Autor : Tgla. Alicia Cusanguá FACULTAD DE SISTEMAS MERCANTILES CARRERA DE CONTABILIDAD Y AUDITORIA EVALUACIÓN DE LA SEGURIDAD Tutor : Ing. Darío Maldonado

Seguridad en la Utilización del equipo Se debe restringir el acceso a los programas y a los archivos Los operadores deben de trabajar con poca supervisión y sin la participación de los programadores y no deben modificar los programas ni los archivos. Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados procurando no usar respaldos inadecuados. No debe de permitirse la entrada a la red a personas no autorizadas, ni usar las terminales En los casos de información confidencial, esta debe de usarse, de ser posible en forma codificada o criptografía. Se debe realizar periódicamente una verificación física del uso de terminales y de los reportes obtenidos 1 2 3 4 5 6

Se debe monitorear periódicamente el uso que se les está dando a las terminales. Se deben de hacer auditorías periódicas sobre el área de operación y la utilización de las terminales El usuario es el responsable de los datos, por lo que debe asegurarse que los datos recolectados sean procesados completamente. Esto solo se logrará por medio de los controles adecuados, los cuales deben de ser definidos desde el momento del diseño general del sistema Debe de existir una perfecta división de responsabilidad entre los capturitas de datos y los operadores de computadora y entre los operadores y las personas responsables de las librerías. Deben de existir registros que reflejen la transferencia de información entre las diferentes funciones de un sistema 7 8 9 10 11 12

Se deben de guardar copias de los archivos y programas en lugares ajenos al centro de cómputo y en las instalaciones de alta seguridad, por ejemplo los bancos Se debe tener un estricto control sobre el transporte de discos y cintas de la sala de cómputo al local de almacenaje distante Se deben identificar y controlar perfectamente los archivos. Se debe tener estricto control sobre el acceso físico a los archivos En el caso de programas, se debe asignar a cada uno de ellos una clave que identifique el sistema, subsistema, programa y versión. Debe de controlarse la distribución de las salidas (reportes, cintas). 13 14 15 16 17 18

SEGURIDAD AL RESTAURAR EL EQUIPO En un mundo que depende cada día más de los servicios proporcionados por las computadoras, es vital definir procedimientos en caso de una posible falla o siniestro. Cuando ocurre una contingencia, es esencial que se conozca al detalle el motivo que la origino y el daño causado, lo que permitirá recuperar en el menor tiempo posible el proceso perdido, también se debe analizar el impacto futuro en el funcionamiento de la organización y prevenir cualquier implicación negativa

PLAN DE CONTINGENCIA Y PROCEDIMIENTOS DE RESPALDO PARA CASOS DE DESASTRE Los accidentes pueden surgir por un mal manejo de la administración, por negligencia o por ataques deliberados hechos por ladrones, por fraudes, sabotajes o bien por situaciones propias de la organización (huelgas) El Plan de Contingencias implica un análisis de los posibles riesgos a los cuales pueden estar expuestos nuestros equipos de cómputo y la información contenida en los diversos medios de almacenamiento, por lo que en este Manual haremos un análisis de los riesgos, cómo reducir su posibilidad de ocurrencia y los procedimientos a seguir en caso que se presentara el problema El trabajar con posibilidad de que ocurra un desastre es algo común, aunque se debe evitar en lo posible y planear de antemano las medidas en caso de que esto ocurra.

PLAN DE CONTINGENCIAS tiene como finalidad proveer a la organización de requerimientos para su recuperación ante desastres Destrucción completa del centro de cómputo. Destrucción parcial del centro de cómputo. Destrucción o mal funcionamiento de los equipos auxiliares del centro de cómputo (Electricidad, aire acondicionado Destrucción parcial o total de los equipos descentralizados Los desastres pueden clasificarse de la siguiente manera:

Pérdida total o parcial de información, manuales o documentación. Pérdida de personal clave. Huelga o problemas laborales. El plan de contingencia es definido como la identificación y protección de los procesos críticos de la organización y los recursos requeridos para mantener un aceptable nivel de transacciones y de ejecución, protegiendo estos recursos y preparando procedimientos para asegurar la sobrevivencia de la organización en caso de desastre.

Entre los objetivos del plan de contingencia se encuentran: - Minimizar el impacto del desastre en la organización Establecer tareas para evaluar los procesos indispensables de la organización. Evaluar los procesos de la organización con el apoyo y autorización respectivos a través de una buena metodología. Determinar el costo del plan de recuperación ,incluyendo la capacitación y la organización para restablecer los procesos críticos de la organización cuando ocurra una interrupción de las operaciones

Entre las etapas del proyecto del plan de contingencias están:

Impacto en la organización El proyecto comienza con el análisis del impacto en la organización. Durante este se identifica sus procesos críticos o esenciales y sus repercusiones en caso de no estar en funcionamiento. Clasificar la instalación en términos de riesgo e identificar las aplicaciones que tengan un alto riesgo Cuantificar el impacto en el caso de suspensión del servicio en aquellas aplicaciones con un alto riesgo

SELECCIÓN DE LA ESTRATEGIA Una vez que hemos definido el grado de riesgo, hay que elaborar una lista de los sistemas con las medidas preventivas que se deben tomar, así como las correctivas en caso de desastre, señalándole a cada función su prioridad. Es importante contar con la documentación completa del plan de contingencia para ser usada en caso de desastre, esta debe ser evaluada y aprobada y periódicamente revisada para actualizarla. Después de que el plan de contingencia sea desarrollado, los documentos deberán archivarse en un lugar que este protegido de desastre, deterioro o pérdida, pero accesible en caso de contingencias.

Los datos que contendrá para su identificación son: Título del documento. Identificación o número de referencia. Número de la versión y fecha. Número de versión. Al finalizar el plan de contingencias, este debe contener: El señalamiento de los procesos críticos. Su impacto. Prioridad. Tiempo en que puede estar fuera de servicio. Información existente de cada proceso. Documentación para la recuperación.

El plan en caso de desastre debe incluir: La documentación de programación y de operación Los equipos. El ambiente de los equipos. Datos, archivos, papelería, equipo y accesorios. Sistemas El plan de contingencias debe ser elaborado asegurándose de que sea mantenido y revisado regularmente para que refleje los cambios en la organización o modificado adaptando los procedimientos

HTPP:// SLIDE