viernes, 13 de mayo de 2022

Evaluacion de sistemas

 Evaluación de sistemas

Para este tipo de evaluación de cualquier tecnología debe ir acompañada de un conjunto de medidas estándar propuestas para tal fin. La disponibilidad de bases de datos y de protocolos o procedimientos para la evaluación de estos sistemas ha sido un componente muy importante, casi fundamental, en el progreso alcanzado en este campo y ha permitido compartir nuevas ideas, e incluso compararlas con otras ya consolidadas.

La evaluación cuanta con los siguientes subtemas.

Seguridad confidencial: es el principio que garantiza que la información solo puede ser accedida por las personas que tienen autorización. Dicha autorización se basa en la necesidad de conocer la información para el desempeño de su actividad laboral o cotidiana y se debe proveer tanto para:

  • La información almacenada: ya sea digital almacenada en repositorios, como servidores o física como documentos en papel.
  • La información en tránsito: información digital transmitida a través de Internet, transportada en soportes digitales de información como pendrives– o información física transportada de un lugar a otro.

Seguridad lógica: manera de aplicar procedimientos que aseguren que sólo podrán tener acceso a los datos las personas o sistemas de información autorizados para hacerlo. Los objetivos que se plantean serán.
  • Restringir el acceso a los programas y archivos.
  • Los operadores deben trabajar sin supervisión minuciosa y no podrán modificar ni programas archivos que no correspondan.
  • Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.
Riesgos y controles a auditar: Un riesgo de auditoría es aquel que existe en todo momento por lo cual se genera la posibilidad de que un auditor emita una información errada por el hecho de no haber detectado errores o faltas significativas que podría modificar por completo la opinión dada en un informe. La posibilidad de existencia de errores puede presentarse en distintos niveles, por lo tanto, se debe analizar de la forma más apropiada para observar la implicación de cada nivel sobre las auditorias que vayan a ser realizadas.
  • Riesgo inherente: Este tipo de riesgo tiene ver exclusivamente con la actividad económica o negocio de la empresa, independientemente de los sistemas de control interno que allí se estén aplicando.
  • Riesgo de control: Aquí influye de manera muy importante los sistemas de control interno que estén implementados en la empresa y que en circunstancias lleguen a ser insuficientes o inadecuados para la aplicación y detección oportuna de irregularidades.
  • Riesgo de detección: Este tipo de riesgo está directamente relacionado con los procedimientos de auditoría por lo que se trata de la no detección de la existencia de errores en el proceso realizado. 
Seguridad en el personal: Se refiere a la seguridad y protección de los operadores, analistas, programadores y demás personal que está en contacto directo con los sistemas, así como a la seguridad de los beneficiarios de la información. El objetivo principal de la auditoría de la seguridad del personal es evitar, hasta donde humanamente sea posible, los accidentes acaecidos en el trabajo que constituyen los riesgos de trabajo.
  • Controles necesarios para la seguridad física del área:
  • Controles administrativos del personal de informática.
  • Seguros y fianzas para el personal de sistemas.
  • Planes y programas de capacitación.
  • Planes de contingencia definidos para el personal que labora en el área.

Encriptamiento: Encriptar una información significa ocultar el contenido de un mensaje a simple vista, de manera que haga falta una interacción concreta para poder desvelar ese contenido. El contenido de este mensaje pueden ser archivos, datos, mensajes o cualquier tipo de información que se te ocurra. En el contexto de Internet, cualquier contenido que envíes desde tu ordenador a la red puede ser cifrado.

El sistema de cifrado simétrico es aquel que utiliza una misma clave para cifrar y descifrar, mientras que, en la encriptación de datos asimétrica se usan diferentes claves: una clave pública para cifrar y una de carácter privado para descifrar, de forma que sea imposible deducir la contraseña privada a través de la pública. Por tanto, encontramos diferentes niveles de seguridad con algoritmos, más o menos complejos, con los que puedes encriptar cualquier cosa: números de tarjetas de créditos, correos electrónicos, nombre de usuarios, documento de textos, claves etc. y protegerlos en caso de sufrir un hackeo.


Seguridad física: Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los sistemas computacionales de la empresa, tales como el hardware, periféricos, y equipos asociados, las instalaciones eléctricas, las instalaciones de comunicación y de datos.
Igualmente, todo lo relacionado con la seguridad y salvaguarda de las construcciones, el mobiliario y equipo de oficina, así como la protección a los accesos al centro de sistematización. En sí, es todo lo relacionado con la seguridad, la prevención de riesgos y protección de los recursos físicos informáticos de la empresa.

Ubicación y construcción del centro de cómputo: La construcción o selección del lugar es un factor determinante en el correcto funcionamiento de un centro de cómputo, ya que de ella depende la mayor protección y seguridad de uno de los elementos más importantes de cualquier organización. Para la elección del lugar donde se instalará el centro de cómputo se deben tener en cuenta diferentes factores tales como:
  • Localidad del barrio que debe contar con:
  • Servicios regulares de transporte.
  • Tener un bajo índice de delincuencia.
  • El área debe estar lejos de centro de reunión problemático
  • Debe estar alejado de lugares peligrosos tales como: áreas de transformadores, calderas, generadores, gasolineras, etc

  • Tipo de suelo:
    • No debe ser pantanoso o arenoso.
    • Se debe elevar el nivel del piso con relación al nivel de la calle

Protecciones contra virus y elementos a auditar: Software Antivirus Soportado por 3M Actualmente Para reducir la posibilidad de que haya actividad de virus en sus sistemas, 3M ha comprado una licencia global para productos antivirus. Incluida en dicha licencia, hay una disposición que da al empleado de 3M que tenga un producto antivirus instalado en su computadora de trabajo el derecho de instalar un producto antivirus en la computadora de su hogar, sea esta o no un activo de 3M. Violaciones Si se encuentra una computadora infectada con virus dentro de la red de 3M, el propietario será notificado y se le pedirá que desconecte la computadora de la red. Si el propietario no se puede localizar, Operaciones de IT aislará la computadora infectada de la red de 3M. Antes de poner la computadora en servicio de nuevo, todos los virus deben ser removidos del sistema, y se deberá instalar software antivirus soportado con definiciones de virus actualizadas y configurado para que cumpla con los estándares de 3M.

Seguridad en la utilización de los equipos: Consiste en asegurar que los
recursos de un sistema de información (material informático o programas) en un equipo de cómputo de una organización o persona sean utilizados de la manera que se decidió y que la información que se considera importante no sea fácil de acceder por una persona ajena a ella. La información de tus equipos de cómputo se halla expuesta a múltiples amenazas, como la pérdida por robo o daño del equipo y la infección y secuestro por virus o software malicioso. El protocolo de seguridad informática para ellos debe incluir desde copias de respaldo en diferentes formatos y localizaciones, hasta restricciones de acceso a terceros y protección contra ataques cibernéticos.

-

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)

Evaluación de la Seguridad

 Interpretación de auditoria  El Auditor al momento de aceptar el trabajo tiene que trabajar para interés público para eso debe con los Prin...