Seguridad, Control y Auditoría en Informática

RIESGOS EN INFORMÁTICA
¿Qué es la información?
Información es una palabra utilizada de muchas maneras, pero en relación con el procesamiento electrónico de datos (EDP), significa “datos recopilados y presentados de modo que contengan un significado”. Un sistema de información efectivo basado en EDP que pueda producir información correcta para lapersona indicada en el tiempo necesario, apoyando la correcta toma de decisiones.

¿Qué es un riesgo?
La posibilidad de que un agente amenazador podrá atacar exitosamente en contra de una vulnerabilidad específica de un sistema.

Manejo de la información
La información y los sistemas de información son muy valiosos. Por lo tanto, deberían ser tratados como un recurso estratégico y se lesdebería dar la misma protección. Toda información debe ser protegida para asegurar credibilidad junto con calidad y precisión al usuario. El responsable de la seguridad de la información es el “propietario” de la información. El principal riesgo para la seguridad de la información, está representado no por la tecnología, sino por la gente involucrada. Por lo tanto, es necesario decidir queinformación no debería estar disponible para todos. En el caso de sistemas de información automatizados, se debe dar autorización formal antes de que los sistemas sean puestos en producción.

LSCA Gabriela Gómez Paniagua

Pag. 1

Seguridad, Control y Auditoría en Informática

Esquema de la seguridad de la información.
Para que un programa de seguridad de información esté completo, requiere devarios aspectos: 1. Clasificación de la información: Clasificar la información de acuerdo a la importancia para quien sea propietario de la información, para saber que tanta seguridad se necesita para cada tipo de información, cuanto tiempo necesita ser retenida, a quien se le dará acceso, si se requieren duplicados de la información o no, etc. 2. Políticas y procedimientos: Siempre existe laposibilidad de que haya personas deshonestas dentro de la compañía que podrían, en algún momento, hacer un mal uso de la información que no le pertenece; por eso se deben establecer ciertos procedimientos para tratar de evitarlo. Por Ejemplo, mediante clasificación bien establecida de los puestos, procedimientos de contratación, abandono y transferencia bien diseñados, dar entrenamiento al personal denuevo ingreso acerca de loas medidas de seguridad y mantener actualizado a todo el personal, etc. 3. Seguridad física: Incluye los controles de acceso al centro de cómputo, por ejemplo, por medio de tarjetas de identificación y sistemas biométricos, el suministro de energía eléctrica, condiciones del medio ambiente como temperatura, humedad, polvo, etc., equipo contra incendios, seguridad de losmedios de almacenamiento de información, etc. Las amenazas a la seguridad física son los desastres naturales, los accidentes y las acciones deliberadas. En los últimos años, los centros de cómputo han sido dañados por incendios, inundaciones, huracanes y terremotos. 4. Seguridad de las comunicaciones: Tanto de voz como de datos, video, etc., por cualquier medio. Las amenazas de la seguridad a lascomunicaciones son intercepción, daño en los medios físicos, daño en la infraestructura de la empresa de servicios portadores, etc. Se pueden tomar diversas medidas de seguridad como encriptación, enrutamiento diverso, etc. Además, el surgimiento de la computación distribuida ha hecho que se incrementen los requerimientos en materia de seguridad de las comunicaciones.

LSCA Gabriela Gómez PaniaguaPag. 2

Seguridad, Control y Auditoría en Informática

5. Seguridad lógica: Se refiere al acceso a los sistemas de información y, por ende, a la información misma. Incluye dispositivos y acciones como asignación y cambio periódico de passwords, encriptación de archivos, restricciones de tiempo para entrar a los sistemas, log-off automático, sistemas de call-back, detección de intrusos o…