UNIDAD 3 ADMINISTRACIN DE LA SEGURIDAD INFORMTICA

UNIDAD 3 ADMINISTRACIN DE LA SEGURIDAD INFORMTICA

OBJETIVOS PARTICULARES DE LA UNIDAD

Al trmino de la unidad, el alumno:

Entender la importancia de la funcin, y como parte fundamental del entorno globalizado de negocios.

Planear la funcin de seguridad informtica como parte clave de las organizaciones.

Describir las prcticas administrativas que son necesarias para el buen funcionamiento de la funcin de seguridad informtica.

3.1 OBJETIVOS AL ADMINISTRAR LA FUNCION

Sus objetivos son identificar, analizar, y eliminar o controlar las fuentes de riesgos antes de que empiecen ha amenazar el funcionamiento continuo y confiable de los sistemas de informacin.

La seguridad de la informacin tiene dos aspectos. El primero consiste en negar el acceso a los datos a aquellas personas que no tengan derecho a ellos, al cual tambin se le puede llamar proteccin de la privacidad, si se trata de datos personales, y mantenimiento de la seguridad en el caso de datos institucionales.Un segundo aspecto de la proteccin es garantizar el acceso a todos los datos importantes a las personas que ejercen adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad de proteger los datos que se les ha confiado.En general, la proteccin de los datos requiere ejercer un control sobre la lectura, escritura y empleo de esa informacin. Para obtener mayor eficiencia en la proteccin se debe tener siempre presente la proteccin de los datos, el mantenimiento de la privacidad y la seguridad del secreto.

[ASI]3.1.1 ADMINISTRACIN Y CONTROL DE CAMBIOS

Controles.

Control Dual. Existen ciertos procesos que no pueden ser validados o verificados por una actividad posterior. En este caso se requiere la intervencin conjunta de dos personas antes de consumar la operacin. El conjunto dual se cumple al recabar una segunda firma de autorizacin verificando que los datos coincidan.

Controles de Entrada

Los datos de entrada deben ser validados lo ms cerca posible del punto de origen, los procedimientos para el manejo de errores deben colocarse en el lugar apropiado para facilitar el reproceso oportuno y preciso.

Manejo de errores de entrada.

Debern revisarse los procedimientos de manejos de errores relacionados con la correccin y retroalimentacin de los datos.

Es necesario determinar si los errores son desplegados o listados inmediatamente despus de su deteccin y si stos son claros y fcilmente comprensibles.

Todos los datos rechazados debern ser grabados en forma automtica y supervisados antes de volver a iniciar su proceso

Controles de Procesamiento.

El procesamiento de los datos por programas de aplicacin individuales, deben ser controlados para asegurar que ningn dato es agregado, removido o alterado durante el proceso.

Se deber incluir:

Que existan pistas de auditoria para permitir la reconstruccin de archivos de datos, cuando se requiera.

Probar si los datos pueden ser rastreados hasta el punto de origen.

Determinar si el Departamento de Sistemas de Informacin tiene un grupo de control que lleve a cabo actividades como las siguientes:

Control de las actividades de las terminales

Investigar cualquier desviacin del operador respecto a los procesos establecidos

Asegurarse que los reinicios se realicen adecuadamente.

Balance de los controles de lote y de registros procesados

Totales de control

Deben revisarse las condiciones o medidas incorporadas en los programas para la integridad de los procesos previendo lo siguiente:

Que impida la entrada de datos por consola

Que se identifiquen los datos a ser procesados

Que los programas verifiquen las etiquetas internas

Que las etiquetas finales incluyen cifras de control

Los conceptos sealados tambin son aplicables para aquellas transacciones que hayan sido rechazadas por el sistema.

Para lograr lo anterior, es conveniente auxiliarse de la misma computadora detectando los errores de procesamiento.

Por esto es necesario.

Determinara qu facilidades de hardware y utileras de software estn disponibles para utilizarse en la deteccin y correccin de errores.

Verificar que la contabilidad de los y trabajos y los reportes de error incluyan:

Nombre y nmero del trabajo

Tiempo de ejecucin, inicio y final.

Razn de terminacin

Mensajes de error

Todas las interrupciones y participacin del operador

Verificar si el sistema genera reportes por excepcin que incluyan:

Intentos no autorizados de acceso a archivos restringidos

Exceso de tiempo de corridas de trabajo

Reproceso de aplicaciones de produccin

Terminaciones anormales y errores detectados en las estadsticas de control

Controles de salida.

Los reportes de salida deben ser revisados en cuanto a su racionalidad y distribucin oportuna a los destinatarios autorizados.

Los reportes de salida beben ser revisados en cuanto a forma e integridad, determinando si han sido establecidos y documentados los procedimientos relacionados con el balanceo y conciliaciones de salidas.

Algunas de las validaciones son:

Determinar si toda la informacin necesaria esta disponible en los reportes, si todas la excepciones son reportadas, si incluyen todas las excepciones posibles y si los totales son exactos.

Es necesario tambin en conjuncin con los usuarios verificar si:

Los reportes que reciben son relevantes

La informacin que incluye es exacta, confiable y til

Tiene necesidades de informacin no incluidas

Existen reportes que no son de utilidad

Tienen sugerencias en cuanto a su frecuencia y contenido

Las salidas deben ser balanceadas contra los totales de control, revisando los procedimientos para esto.

La redistribucin de las salidas debe estar de acuerdo con las instrucciones escritas revisando:

a. Su integridad y exactitud

b. Modificaciones e instrucciones iniciales

c. Existencia de las listas de distribucin por aplicacin actualizada.

d. Verificar si estas listan incluyen; frecuencia del reporte, distribucin de los originales y copia e instrucciones especiales (si es el caso).

e. Deben existir procedimientos para reportar y controlar errores determinados en las salidas, incluyendo la comunicacin con el rea responsable de solucionarlos

f. Lo ideal es establecer una bitcora que seale:

g. Identificacin de los problemas registrando la fecha y hora en que se contacto al personal de sistema.

h. La accin correctiva que se tomo.

i. Fecha y hora en que se corrigi y responsable de esto.

j. Causas y tendencias de los errores de salida

k. Procedimiento para garantizar que los errores son corregidos en su totalidad.

Controles administrativos

Separacin de funciones.

El auditor deber preocuparse porque exista una adecuada separacin de funciones para prevenir un mal uso de la computadora e inclusive fraudes en la utilizacin de los archivos, recursos materiales o documentos negociables. Esto incluye el grupo de procesamiento de datos as como las relaciones entre estos y el grupo de usuarios

Controles de Ambiente y seguridades Fsicas

Estos controles estn orientados al objetivo sealado de continuidad del servicio y depende en gran parte de las condiciones ambientales externas e internas como: planta de energa propia, temperatura y humedad controlada

Estos controles ambientales no slo son aplicables en el rea de la computadora, sino tambin en la biblioteca.

El cumplimiento de estos objetivos se puede asegurar utilizando:

a. Registro de los termmetros localizados en el centro.

b. Registro de indicadores de humedad

c. Registro de indicadores de voltaje

d. Revisin de pruebas peridicas de los procedimientos para operar con la planta auxiliar de energa elctrica

e. Revisiones de los resultados de las condiciones que guardan los sistemas de proteccin contra fuego.

Otra rea de intervencin del auditor en informtica est relacionada con los dos aspectos siguientes relacionados con seguridades fsicas.

Proteccin del equipo de cmputo, programas y archivos y el acceso no autorizado a informacin confidencial o al programa. Los controles generales para seguridad fsica incluyen:

a. Acceso controlado para prevenir entradas no autorizadas al rea de operacin, biblioteca y lugares en donde se encuentren documentos negociables.

b. Procedimientos de autorizacin y criterio para limitar las entradas de personal a reas restringidas

c. Procedimientos autorizacin y criterios para la conservacin del contenido de la biblioteca.

d. Acceso en lnea a la informacin

Para evaluar los controles de seguridad fsica es posible utilizar guas de auditora tomadas en literatura existente, adecuada a las particularidades de la organizacin.

Tambin es importante evaluar dentro de esta etapa otros factores que puedan representar riegos para el centro de procesos.

Las siguientes son algunas de las medidas de seguridad Fsica recomendables en un Centro de Cmputo; que incorporan aspectos relativos a la propia construccin y ubicacin.

Ubicacin

Se refiere al lugar definido para operar el centro de cmputo en donde tendremos que validar, entre otras cosas:

Facilidad de acceso

Alimentacin de Energa elctrica

ndice de delincuencia

Empresas vecinas (altamente contaminantes)

ndice de fenmenos naturales: Sismos y tormentas

En esta parte es importante seleccionar, a travs de un estudio adecuado, el lugar ideal para recibir las instalaciones del Centro de Procesos. Podemos decir que son pocas las instalaciones en las que se tom en cuenta este factor.

Construccin

Nos referimos a los materiales utilizados en la edificacin del Centro de Procesos que permitan entre otras cosas:

a. Soportar un ataque directo desde el exterior

b. Que no incluyan en la medida de lo posible materiales que puedan originar un incendio

c. Que no existan ventanas al exterior

d. Que se incluyan bvedas resistentes al calor

e. Incorporacin de barreras para cortar o aislar un incendio

Otro aspecto importante cundo hablamos de la construccin, es el concepto de anonimato, que nos seala que no es conveniente identificar claramente el contenido de nuestro edificio, de tal suerte que no sea fcil sealar el local como la parte ms vulnerable de la organizacin.

Controles de acceso

Trata de los dispositivos de seguridad, que atienden el acceso al rea del Centro de Proceso e incluyen:

a) Guardia de seguridad con entrenamiento adecuado.

b) Cerraduras de combinacin y(o) magnticas

c) Circuito cerrado de televisin (incluye el acceso principal y reas de operacin)

d) Puertas blindadas bajo el sistema de doble puerta

e) Registro de visitantes

f) Gafetes de identificacin

g) Sistemas integrales de control a travs de microcomputadoras[ASI]3.1.2 CLASIFICACION DE DATOS E INFORMACION

Propiedades de la Informacin que protege la Seguridad Informtica

La Seguridad Informtica debe vigilar principalmente las siguientes propiedades:

Identificacin

Es un cdigo o contrasea que se emita aun usuario autorizado de la red, que debe mantener la confiabilidad de ello para ingresar a la red, los usuarios solo requieren utilizar su ID o contrasea.

Privacidad

La informacin debe ser vista y manipulada nicamente por quienes tienen el derecho o la autoridad de hacerlo. Un ejemplo de ataque a la Privacidad es la Divulgacin de Informacin Confidencial.

Integridad

La informacin debe ser consistente, fiable y no propensa a alteraciones no deseadas. Un ejemplo de ataque a la Integridad es la modificacin no autorizada de saldos en un sistema bancario o de calificaciones en un sistema escolar.

Disponibilidad

La informacin debe estar en el momento que el usuario requiera de ella. Implica asegurar que los usuarios legtimos tengan acceso a la informacin y a los recursos permitidos .Un ataque a la disponibilidad es la negacin de servicio (En Ingls Denial of Service o DoS) o tirar el servidor

Confiabilidad

Implica asegurar la informacin no sea revelada a personas no autorizadas

3.1.3 PRCTICA Y POLTICAS RELATIVAS AL PERSONAL

La mayora de las instituciones han tomado conciencia de la creciente dependencia en la integridad, estabilidad y lealtad del personal y dedican mayor atencin a esta rea de la seguridad en computacin. La contratacin de personal inapropiado para puestos de gran responsabilidad, como las operaciones y el control, no es raro y necesariamente aumenta el riesgo de accidentes.

Existe el riesgo de que se dependa de manera excesiva en esta rea, sobre todo en las instalaciones de anta seguridad, donde indagar acerca de los antecedentes del personal es prctica de rutina. Estas instalaciones siempre son un blanco de ataque; la prevencin de cualquier intento al respecto slo la garantizar un filtro de seguridad a toda prueba.

1. POLTICAS DE CONTRATACIN

Casi todas las instituciones cuentan con un procedimiento de contratacin bien estructurado y de rutina; sin embargo, en muchos casos ste se aplica con demasiada flexibilidad. Desde el punto de vista de la seguridad, las caractersticas ms importantes de una poltica de contratacin son:

Verificacin de referencias y antecedentes de seguridad

Pruebas psicolgicas

Exmenes mdicos

La verificacin de las referencias normalmente se pasa por alto. Muchas empresas se muestran renuentes a proporcionar referencias tiles, debido a razones legales o de otra ndole. Esto representa ciertas dificultades para evaluar la aceptabilidad de un solicitante.

3.1.5 METODOLOGIAS Y HERRAMIENTAS PARA LA ADMINISTRACIN DE RIESGOS EN GENERAL

Apuntes de la Profra. Nacira Mendoza Pinto

ACTIVIDAD EN INTERNET

Air SmartGate

Cyber Snoop

IAnalyst

Internet Cleanup

Internet Manager

Internet Resource Manager

Internet Risk Manager

NetFocus

System Activity Manager

Web Spy

Web Trends Firewall Suite

WinGaudian

ANALISIS DE REDAbend-AID Fault Manager Actiview Trouble Manager AimIT BindViewCentennial DiscoveryEnterprise Security ManagerEvent Log Monitor Expert Observer Kane Security AnalystLink AnalystNT Manage NTRama Sentinel Software Security SPQueryTripWireWebTrends Netware Management

ANTI ESPIONAJEAd-SearchAnticotillas PlusFlashLockGuideonHook ProtectiProtectPC Security GuardRainbow Diamond Intrusion DetectorTop Secret OfficeANTI SPAMSpam BusterSpamkiller SpammerSlammerANTI VIRUSAntiViral Toolkit ProAVTrojan AVXBootProtectCompucilinaeSafe ProtectF-SecureFobiasoft GuardianiRis AntivirusInoculateInVircible AntivirusKaspersky Anti-VirusMAMSoftNorman Thunderbyte Virus ControlNorton AntivirusPanda Antivirus PlatinumPC-cillinProtector PlusQuick HealRAV AntiVirusSophosThe CleanerTrojan Defense SuiteVirITViruSafe WebVirusScanARRANQUEAccess DeniedBootLockerBoot SentryMindSoft CustodyScreenLockSentrySCUA SecurityThunderGuardXLockAUDITORIAFileAuditLog MonitorSecurityChargeBACKUP@BackupAdsm ArcServe AutoSave Backup ATM Network Backup Exec Connected Online BackupDataKeeperData Recovery for NetWareDiscviewDrive ImageImageCastNetBackupNorton GhostNovabackupOpen File ManagerReplicaRetrospectSurviveITUltrabacBLOQUEO Y RESTRICCIONAbsolute SecuritySecureIt ProAnfibia Soft DeskmanDeviceLock MeRedHand ProStormWindowMindsoft RestrictorMindSoft GuardianShipWindows Security OfficerDesktopShieldSmart98PC RestrictorTrueFaceAceControlCDLockPC LockDeskmanGS98 Access ControlWinFile VaultLock n SafeClasp2000ISS ComplockMicroManagerMausTrapChildProofSecurityWizardSystem SecurityDesktop Locker 1.0WinLockCOOKIESCache & Cookie Washer Cookie CrusherCookie Pal CyberClean The WatchmanWindow WasherCONTRASEASAdvanced Password GeneratorLocker007 Password RecoveryAadunPassword KeeperInfo KeepPlanet.KeeperEXE ProtectorRandom Password GeneratorPassword CorralPasswordsAsteriscoGuardianOffice PasswordPassGuardPwlToolPassword PlusPassword PowerClavesPassword TrackerQWalletPassword ProPassGoPrivate Bookmarks LockDownv-GO Universal PasswordPassword GeneratorMasterPassOpen PassWMVaultSoftware SafePassword GuardianSecret SurferePassword KeeperPassword PocketAbsolute SecurityCONTROL REMOTOAMI Server Manager ControlITCoSessionLapLinkKane Security MonitorNetOpNetSupport ManagerPcAnywhereProxyReachOut EnterpriseRemote AdministratorServerTrak Timbuktu ProTrendTrakDETECTORES DE AGUJEROS DE SEGURIDADCheck Point RealSecure Hackershield " Intruder AlertLanGuard Network ScannerLucent RealSecure NetProwlerNetReconPassMan PlusSecureNet Pro Software WebTrends Security AnalyzerENCRIPTACIONAbsolute SecurityCryptit CryptoIdentify Data Safe FileCrypto FileDisk Protector NovaLockRSA BSafe SafeGuard LanCryptSafeSuite RealsecureSECRETsweeper Secure Shuttle TransportSpartaCom CryptogramShyFileHotCryptKrypton Encoding SystemFile ProtectorInvisible SecretsABI- CODERInterscope BlackBoxTEACryptXcryptoDataCloakMindSoft ShelterEnigmaBestCryptPGP AsistJumblezillaFolder GuardSecurity BOXEnigma 98EasycryptoComboNorton Secret StuffText WatchdogEmerald EncryptionInfoSafePCSafeQuick:CRYPTEncrypt IT!FlyCryptCrypTextEncrypted Magic FoldersSecurityManagerNeocryptUnbreakable EncryptionThe DESX UtilityWINZAPSECUREThunderCryptHideit! ProCodedDragEasy CodeAutoEncryptCryptomanPassworxKremlin ENCRIPTACION COMUNICACIONESBbcom VPN F-Secure VPN Go SecureGuardianPRO VPNIntel VPN KryptoGuard LAN and VPN Power VPNSafeGuard VPNSidewinderSmartGateSonicWall ProVPN 1 Internet GatewayVPNWare SystemESPIONAJEEl EspaOmniquad DetectivePC SpySnooperAY SpyRemoteViewWatcherKeyboard MonitorSpyAnywhereMyGuardianStealth ActivityCanaryEventControlKeyKeyDesktop SurveillanceStealth Keyboard InterceptorBoss EverywareAppsTrakaDate EditIntraSpy2Spy!WinGuardianKey LoggerPassword RevealerActivity MonitorSystem SpyAlot MonicaSpectorStealth LoggerASCII SpySupervisionCamFILTROS PARA INTERNETCommandView Message Inspector Cyber Attack Defense System Cyber SentinelDigital IDe-SweeperGo Secure!Mail-Gear MailSweeper MailVault Predator GuardPrivate-I Real Secure Shields UP SigabaSecureSmartFilterWEBsweeper World Secure MailFIREWALLSAltavista Firewall BlackIceCheckPoint Elron Firewall FireProof Firewall KIT System GuardianPRO Firewall " GuardITHackTracerMindSoft FirewallNeoWatchNetmax FirewallNorton Personal FirewallRaptor FirewallSecure Connect FirewallSmartWallSygate Personal FirewallTiny Personal FirewallWatchguard Livesecurity SYSWinRoute ProZoneAlarm ProCyberArmorGESTION DE ACCESOSAbsolute ProtectAccess Manager Secondary Radius Border Protector GuardianPro AuthenticationHands Off PersonaliKey Navis Radius Access Control Palladium Secure Remote AccessPrivateEXESteel-Belted RADIUS RSA SecurID WinFuelAzza Air Bus c2000 Cnet/2 DefenderE-Z LockIdentity Protector Lock ProtectorNavis AccessPanda SecurityPersonal ProtectorSafeGuard easySafeWord PlusSmartGuard SmartLock UserLock VicinIDMANTENIMIENTODiskeeperMore Space Partition Commander Partition MagicSecurity SetupSystem CommanderWindows CommanderOCULTACIONWinShredDon't Panic!CamouflageBossBlackBoard FileWipeWebPasswordInvisible FilesHidden 7Sentry98 WipeCleanRECUPERACION DE DATOSConfigSafe Desktop CoreSave Easy Recovery Easy Restore eSupport GoBack Instant Recovery PictureTaker Personal Edition SecondChance " System SnapshotLost & FoundShredderUndeleteSEGURIDAD COMERCIO ELECTRONICOCommerce Protector CryptoSwift eTrust NetSecureRSA Keon SAFEsuite DecisionsSafety NetSUITES DE SEGURIDAD INFORMATICA eSafe DesktopF-Secure Workstation SuiteMcafee Office 2000 ProNetMax Professional SuiteNorton Internet Security 2000 Observer Suite Ontrack SystemSuite 2000Secur-All3.1.6 ROLES Y RESPONSABILIDADES HACIA LA SEGURIDAD INFORMATICA

Apuntes de la Profra. Nacira Mendoza Pinto

CARGOFUNCIN / OBLIGACINAREAS RESTRINGIDAS

Direccin / Alta Gerencia-Toma decisiones de polticas de seguridad

-Garantiza planes de contingenciaNinguna

GerenciaAplicar los planes de seguridadDBA

DBAAdministra el nivel lgico (datos)Ninguna

OperacinAdministra y organiza los recursos fsicos (soporte)DBA

Analista y programadoresCrea, desarrolla e implanta sistemasDBA/ Operacin

OperadoresExplota el sistema de informacinDBA / Operacin / Desarrollo

Usuario Final-Capturar

-Enviar informacin que genera el sistemaDBA/Operacin/Desarrollo/ Operadores

3.1.7 CONCIENTIZACIN DE LAS EMPRESAS

Son los directivos, junto con los expertos en tecnologas de la informacin, quienes deben definir los requisitos de seguridad, identificando y priorizando la importancia de los distintos elementos de la actividad realizada, con lo que los procesos ms importantes recibirn ms proteccin. La seguridad debe considerarse como parte de la operativa habitual, no como un extra aadido.

3.2. EXPLICACIN CASO REAL DE UNA ORGANIZACIN

Ejemplo 4: amenaza no intencionada (desastre natural)

La organizacin XYZ no tiene sistemas de deteccin y proteccin contra incendios en la sala de servidores. Un administrador de los sistemas de la organizacin deja un par de manuales encima del aparato de aire acondicionado. Durante la noche el acondicionador de aire se caliente y comienza un incendio que arrasa la sala de servidores y un par de despachos.

3.3 FUNCIN DE SEGURIDAD INFORMTICA

Apuntes de la Profra. Nacira Mendoza Pinto

Su funcin es proteger y administrar todos los recursos de cmputo que accesan los usuarios.

3.3.1 OBJETIVOS

Apuntes de la Profra. Nacira Mendoza Pinto

Proteger el patrimonio informtico

Establecer los controles adecuados

Vigila

Disponibilidad del rea

Integridad

Privacidad

Administra

Auditora

Autenticidad y autorizacin

Previene desastres, ya que elabora planes de contingencia.

3.3.2 ESTRUCTURA ORGANICA

Apuntes de la Profra. Nacira Mendoza Pinto

Para conformar un rea de seguridad informtica se necesita:

Plan estratgico de seguridad (normas y polticas de la empresa)

Limitaciones de seguridad (vulnerabilidad)

Equilibrio entre controles y riesgos

Evaluacin permanente de riesgos

Compromiso con polticas de seguridad

Divisin de responsabilidades

Sistema de control interno

Asignacin de responsabilidades de seguridad

Sustitucin del personal clave

3.3.3 FUNCIONES Y RESPONSABILIDADES

La seguridad en informtica tiene como funcin el establecer y vigilar que se cumplan los controles que coadyuvan al procesamiento de informacin completo, exacto y oportuno, evitando riesgos de prdida y fugas de informacin en el mbito informtico

En el campo de seguridad se presentan nuevos retos a las empresas mexicanas y de manera especial a las que residen en la Ciudad de Mxico. Su problemtica ha ido ampliando en los ltimos aos con los problemas de contaminacin en general y de los desastres.

En la actualidad no es suficiente que la empresa se restrinja a los campos de higiene y seguridad de trabajo o adquiera una pliza de seguros como ha sido costumbre. En lugar de soluciones parciales y aisladas, ahora se tiene que buscar la solucin integral y ptima para lograr los siguientes objetivos principales:

Mejorar la seguridad y salvaguardar al personal y adems recursos de la empresa.

Prevenir los desastres, a travs de la reduccin de los riegos

Asegurar los preparativos para atender las emergencias

El procesamiento de datos es una funcin de apoyo al negocio. Por lo tanto cualquier tipo de amenaza a la seguridad de la empresa o cualquier tipo de organizacin lo es tambin para la seguridad de las instalaciones de cmputo.

Son necesarias seguridades para proteger el equipo contra sabotaje, incendio, e inundacin. El mejor medio para evitar dao deliberado es limitar el acceso a la instalacin al personal autorizado. Los extraos deben quedar lejos de las instalaciones y el personal deber ser investigado cuidadosamente antes de contratrsele. La gerencia deber estar siempre alerta ante la posibilidad de dao por un empleado descontento. Frecuentemente la localizacin de la instalacin de computacin se conserva realmente en secreto.

[ASI]

3.3.4 INTERRELACIN CON LA AUDITORIA INFORMATICA

La Auditoria de Sistemas es el conjunto de tcnicas que permiten detectar deficiencias en las organizaciones de informtica y en los sistemas que se desarrollan u operan en ellas, incluyendo los servicios externos de computacin, que permitan efectuar acciones preventivas y correctivas para eliminar las fallas y carencias que se detecten.

Se verifica la existencia y aplicacin de todas las normas y procedimientos requeridos para minimizar las posibles causas de riesgos tanto en las instalaciones y equipos, como en los programas computacionales y los datos, en todo el mbito del Sistema: usuarios, instalaciones, equipos.

Las Instituciones efectan Auditorias de Sistemas, con la finalidad de asegurar la eficiencia de las organizaciones de informtica, as como la confiabilidad y seguridad de sus sistemas.[ASI]

CUANTITATIVACUALITATIVA/SUBJETIVA

Utiliza modelos matemticos.Enfoque a lo amplio que se desee.

Proporciona una cifraPlan de trabajo flexible y creativo

justificante para cadaIdentificacin de eventos

Contramedida.Incluye factores tangibles.

Estimacin de prdidasDepende de la habilidad y calidad

Potenciales solo si son exactas.del personal.

Metodologas estndares.Puede excluir riesgos significantes

Difciles de mantener o modificar.(check list).

Dependencia de un profesional.Identificacin de eventos reales ms

claros.

Dependencia de un profesional.

Etapa 1

Cuestionario

Etapa 2

Identificacin de los riesgos

Clculo del impacto

Etapa 3

Etapa 4

Identificar los controles y el costo

Etapa 5

Simulaciones

Qu pasa si...?

Creacin de los informes/reportes

Etapa 6

Direccin de Seguridad Informtica

Equipo de Evaluacin de Daos

Equipo de Contingencia

Plan de Recuperacin

Relaciones Pblicas