Separacion de ambientes

Solo disponible en BuenasTareas
  • Páginas : 9 (2066 palabras )
  • Descarga(s) : 0
  • Publicado : 19 de agosto de 2012
Leer documento completo
Vista previa del texto
En el departamento de Sistemas de su empresa existen entornos de Desarrollo, Testing y Producción. Cada uno tiene su correspondiente servidor de aplicaciones y de base de datos.
Defina:
1- a) que nivel de acceso debería tener cada uno de los responsables de cada entorno sobre los otros.

El acceso a la información debe limitarse a lo mínimo e indispensable para cumplir con el trabajoasignado. Las excepciones deben ser analizadas y aprobadas por el área de seguridad informática. Esto incluye tanto acceso físico como lógico a los recursos de información. Todas las conexiones que se originan desde redes o equipos externos, deben limitarse únicamente a los servidores y aplicación si es necesario. Si es posible, estos servidores destino de las conexiones deben estar físicamente ológicamente separados de la red interna de la empresa

Control

Los medios de desarrollo, prueba y operación debieran estar separados para reducir los riesgos de acceso no-autorizado o cambios en el sistema operacional.

Lineamiento de implementación

Se debiera identificar el nivel de separación necesario entre los ambientes de desarrollo, prueba y operación para evitar los problemas operacionalesy se debieran implementar los controles apropiados.
Se debieran considerar los siguientes ítems:
a) se debieran definir y documentar las reglas para la transferencia de software del estado de desarrollo al operacional;
b) los software de desarrollo y operacional debieran correr en sistemas o procesadores de cómputo, y en diferentes dominios o directorios;
c) los compiladores, editores y otrasherramientas de desarrollo o utilidades del sistema no debieran ser accesibles desde los sistemas operacionales cuando no se requieran;
d) el ambiente del sistema de prueba debiera emular el ambiente del sistema operacional lo más estrechamente posible;
e) los usuarios debieran utilizar perfiles de usuario diferentes para los sistemas operacionales y de prueba, y los menús debieran mostrar losmensajes de identificación apropiados para reducir el riesgo de error.
f) la data confidencial no debiera ser copiada en el ambiente del sistema de prueba

Las actividades de desarrollo y prueba pueden ser problemas serios; por ejemplo, una modificación no deseada de los archivos o el ambiente del sistema, o una falla en el sistema.
En este caso, existe la necesidad de mantener un ambienteconocido y estable en el cual realizar una prueba significativa y evitar un inadecuado acceso del encargado del desarrollo.
Cuando el personal de desarrollo y prueba tiene acceso al sistema operacional y su información, ellos pueden introducir un código no-autorizado o no-probado o alterar la data de operación. En algunos sistemas esta capacidad puede ser mal utilizada para cometer fraude, ointroducir un código no probado o malicioso, el cual puede causar serios problemas operacionales.
Los encargados del desarrollo y las pruebas también podrían ser una amenaza para la confidencialidad de la información operacional. Las actividades de desarrollo y prueba pueden causar daños no intencionados al software o la información si es que comparten el mismo ambiente de cómputo. Por lo tanto, esdeseable separar los medios de desarrollo, prueba y operación para reducir el riesgo de un cambio accidental o acceso no-autorizado al software operacional y la data del negocio

b) Que políticas y procedimientos utilizara para administrar el riesgo relacionado a las actualizaciones de los distintos sistemas de información

Las evaluaciones del riesgo debieran identificar, cuantificar y priorizarlos riesgos en comparación con el criterio para la aceptación del riesgo y los objetivos relevantes para la organización. Los resultados debieran guiar y determinar la acción de gestión apropiada y las prioridades para manejar los riesgos de la seguridad de la información y para implementar los controles seleccionados para protegerse contra estos riesgos. Es posible que el proceso de evaluación...
tracking img