Seguridad y Control de los SI

Ing. Elmer Ruiz T.

 Agenda
1. Importancia de Controlar los Sistemas de Información

2. Amenazas a los Sistemas de Información

3. Entorno de Control de los Sistemas Información

4. Auditoria de Sistemas

5. Aseguramiento de la Calidad de Software

Ing. Elmer Ruiz T.

 Importancia de Controlar los S.I.
Dado el alto grado de penetración de la informática en la vida cotidiana doméstica y
organizacional, cualquier tipo de fallo en los sistemas de información pueden producir catástrofes
importantes.
A los efectos de minimizar el impacto de las amenazas, las empresas necesitan implementar un
sistema de control del sistema de información.

Conceptos importantes:
 Amenazas  Riesgo latente, acción que genera temor.
 Controles  Intervenciones realizadas con el objeto de prevenir cualquier posible desvío respecto a lo
que se pretendía.

 Seguridad  Políticas, procedimientos y medidas técnicas que se aplican para evitar cualquier tipo de
fallo, robo, alteración a los S.I.

Ing. Elmer Ruiz T.

 Amenazas a los Sistemas de Información
Amenaza Descripción de las mismas
• Alto Intercambio de información que aumenta los canales de acceso a los datos desde
Problemas de diferentes fuentes.
Telecomunicaciones
• Fallos en establecer y/ó mantener una comunicación. Cortes de comunicación
inesperado.
• Falta de señal en redes inalámbricas.
• Acceso no autorizado a una red de computadoras. Este acceso puede o no contar con
Intrusión robo ú alteración al sistema y/ó sus datos.
_Cuando una persona realiza la intrusión: Se las llama genéricamente “Hackers”. Sin
embargo, existe una denominación específica de acuerdo al tipo de vandalismo
informático, a saber:
 Cracker  Phreaker  Hacker  Pirata informático  Carding  Trashing
_Cuando se trata de una intrusión mediante un programa, esto se conoce como
“Virus”. Existen varios tiposde virus:
 Virus mutantes o polimórficos  Virus de Booteo  Virus de macros
 Virus de archivo  Caballo de Troya  Gusanos o Worms.
 Virus de sobreescritura  Virus residentes  Etc.

Ing. Elmer Ruiz T.

 Amenazas a los Sistemas de Información (Cont)
Amenaza Descripción de las mismas
Robo • Puede ser de información, datos y/ó de equipos o soportes físicos

Fallos de Hardware • Rotura de equipos

• Catástrofes del entorno
• Virus

• Errores en la codificación del Software (Bugs)

Fallos de Software
• Errores producidos en el ingreso de los datos.
• Virus
• Errores producidos por el volumen (ya sea de usuarios concurrentes, de procesos
activos, etc)
Los errores llevan a una mala calidad de la información y pueden impactar negativamente en la
toma de decisiones.

Catástrofes • Incendios
• Fallos en el suministro eléctrico
• Inundaciones
• Sismos

Ing. Elmer Ruiz T.

 Amenazas a los Sistemas de Información (Cont.)
Origen de las amenazas:
• Factores técnicos
• Factores de organización
• Factores del entorno.
Combinados con malas decisiones gerenciales o la falta de decisión.

Virus informático: software que puede

• Destruir datos
• Perturbar el normal funcionamiento del procesador
• Vulnerar la privacidad y confidencialidad de la información
• Bloquear y/o congestionar el tráfico en las redes e Internet
• Etc.

Ing. Elmer Ruiz T.

 Entorno de Control de los Sistemas Información
La implementación de controles minimiza los riesgos a los que están expuestos los S.I.

Los controles son una combinación de medidas manuales y automatizadas que cuidan de la
seguridad de los activos, la exactitud y fiabilidad de los registros contables y el cumplimiento
operativo de las normas gerenciales.

Tipos de controles:
 Controles Generales  Controles amplios que monitorean el funcionamiento
eficaz de los procedimientos programados en todas las
Areas de aplicación.

 Controles de Aplicación  Controles específicos y exclusivos de cada una de las

aplicaciones computarizadas.

Ing. Elmer Ruiz T.

 Entorno de Control de los Sistemas Información (Cont)
Controles Generales Descripción de los mismos
Control de Implementación • Audita el proceso de desarrollo de sistemas para asegurar que siga las pautas de
calidad para el desarrollo, conversiones y pruebas.

Control de Software • Monitorea el uso del software de sistemas y evita el acceso no autorizado a
los programas de aplicación y al software de sistemas.
• Cuida que el equipo esté protegido físicamente contra incendios y extremos de
Control de Hardware
temperatura y humedad. Debe garantizar la continuidad operativa ante desastres,
implementando respaldos tanto de hardware como de datos.

Control de Operaciones • Ejercido sobre la labor del centro de cómputos. Garantiza que los procedimientos
de Computación programados se apliquen de forma congruente y correcta al almacenamiento y
procesamiento de datos.

Control de Seguridad de • Garantiza que los archivos de datos de negocios no sufran accesos no
los datos autorizados, alteraciones o destrucción.

Control Administrativo • Normas, reglas, procedimientos y disciplinas de control formalizados.

Asegura que los controles generales y de aplicación de la organización se
apliquen y cumplan debidamente.

Ing. Elmer Ruiz T.

 Entorno de Control de los Sistemas Información (Cont)

Controles de Aplicación Descripción de los mismos

Control de Entrada • Verifica la exactitud e integridad de los datos cuando entran en el sistema. Son
controles para evitar errores en las entradas, conversiones y/ó ediciones de
datos. Es posible establecer totales de control.

Control de • Determina si los datos están completos y son exactos durante la actualización.
Procesamiento Se pueden establecer totales de control de serie, el cotejo por computadora y
verificaciones de edición.

Control de Salida • Monitorea que los resultados del procesamiento sean correctos, estén
completos y se distribuyan debidamente

Ing. Elmer Ruiz T.

 Entorno de Control de los Sistemas Información (Cont)

¿Qué medidas se pueden implementar para las amenazas existentes? (Algunos ejemplos)
 Virus  Antivirus, no permitir el uso de disquettes para el traslado de
información.
 Personas intrusas  Firewalls, Sistemas de detección de intrusiones.
 Desastres  Resguardos completos y/ó incrementales, Espejado de discos,
Planes de Recuperación en caso de desastres.
 Fallos de Software  Controles de entrada, Implementar metodología estandarizada para
el desarrollo/mantenimiento de sistemas y efectuar auditorías
sobre el uso de la misma, Controles de salida.

 Problemas de telecomunicación  Cifrado, Firma Digital, Certificado Digital, Integridad del

mensaje.
 Seguridad en Transacc. Electrónicas  Transmisión Electrónica Inviolable (SET- Tarj. Crédito), E-
cash
Ing. Elmer Ruiz T.
 Auditoria de Sistemas
La Auditoria de Sistemas se ejerce sobre los procesos de control implementados.
Las tareas de la Auditoria son:
• Analizar exhaustivamente el cumplimiento de todos los controles que rigen sobre los
sistemas de información
• Enumerar las deficiencias de control detectadas.
• Estimar la probabilidad de ocurrencia de las deficiencias mencionadas
• Evaluar el impacto en las finanzas y en la organización de dichas deficiencias
• Proponer posibles mejoras en los controles que se efectúan.

Las técnicas posibles de utilizar en la auditoria son:

• Entrevistas y revisión de documentación.
• Control del flujo completo de transacciones.
• Utilización de herramientas de auditoria automatizadas.

Ing. Elmer Ruiz T.

 Aseguramiento de la Calidad del Software
Definiciones Importantes:
 Calidad, Calidad del Software
 Aseguramiento de la Calidad

Soluciones a los principales problemas de calidad del Software:

 Uso de metodologías apropiadas
 Asignación de los recursos necesarios durante el desarrollo
 Implementación de métricas de software
 Desarrollo de pruebas exhaustivas
 Utilización de herramientas de calidad.
Actualmente existen estándares internacionales que detallan los elementos necesarios y los pasos a
seguir para asegurar la calidad del proceso de desarrollo/implementación de Sistemas.
• ISO 9000-3
• CMM

Ing. Elmer Ruiz T.