Ensayos
Se refiere a la protección de hardware y los soportes de datos, así también como la seguridad de los edificios y las instalaciones que lo albergan. Esto contempla situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc. Consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención ycontramedidas ante amenazas a los recursos e información confidencial.
Instrumentos de Evaluación en la Auditoría de la Seguridad Física
• Entorno Físico
• Ubicación del Edificio Ubicación del CPD dentro del edificio
• Compartimentación
• Elementos de construcción
• Potencia eléctrica
• Sistemas contra incendios
• Control de acceso
• Selección delpersonal
• Seguridad de los medios
• Medidas de protección
• Duplicación de medios
AUDITORIA DE LA SEGURIDAD LÓGICA
Es necesario verificar que cada usuario solo pude acceder a los recursos que sele autorice el propietario, aunque sea de forma genérica, según su función, y con las posibilidades que el propietario haya fijado: lectura, modificación, borrado, ejecución,traslado a los sistemas lo que representaríamos en una matriz de accesos.
• En cuanto a autenticación, hasta tanto no se abaraten más y generalicen los sistemas basados en la biométrica, el método más usado es la contraseña,
• Cuyas características serán acordes con las normas y estándares de la entidad, que podrían contemplar diferencias para según que sistemas en función de lacriticidad de los recursos accedidos.
• Aspectos a evaluar respecto a las contraseñas pueden ser:
• Quien asigna la contraseña inicial y sucesivas.
• Longitud mínima y composición de caracteres.
• Vigencia, incluso puede haberlas de un solo uso o dependientes de una función tiempo.
• Control para no asignar las “x” ultimas.
• Numero deintentos que se permiten al usuario.
• Controles existentes para evitar y detectar caballos de Troya.
AUDITORIA DE LA SEGURIDAD DE LOS DATOS
La protección de los datos puede tener varios enfoques respecto a las características citadas: la confidencialidad, disponibilidad e integridad. Puede haber datos críticos en cuanto a su confidencialidad, como datos médicos u otrosespecialmente sensibles para la LORTAD (sobre religión, sexo, raza) otros datos cuya criticidad viene dada por la disponibilidad: si se pierden o se pueden utilizar a tiempo pueden causar perjuicios graves y, en los casos mas extremos poner en peligro la comunidad de la entidad y finalmente otros datos críticos atendiendo a su integridad, especialmente cuando su perdida no puede detectarse fácilmente ouna vez detectada no es fácil reconstruirlos.
Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede incluir preparación, autorización, incorporación al sistema: por el cliente, por empleados, o bien ser captado por otra forma, y debe revisarse como se verifican los errores.
Proceso de los datos: controles de validación, integridad, almacenamiento: que existancopias suficientes, sincronizadas y protegidas.
Salida de resultados: controles en transmisiones, en impresión, en distribución.
Retención de la información y protección en funciona de su clasificación: destrucción de los diferentes soportes que la contengan cuando ya no sea necesaria, o bien desmagnetización.
Designación de propietarios: clasificación de los datos, restricción de suuso para pruebas, inclusión de muescas para poder detectar usos no autorizados.
Clasificación de los datos e información: debe revisarse quien la ha realizado y según que criterios y estándares; no suele ser práctico que haya más de cuatro o cinco niveles.
Cliente-servidor: es necesario verificar los controles en varios puntos, y no solo en uno central como en otros sistemas, y a veces...
Regístrate para leer el documento completo.