AUDITORIA DE LA SEGURIDAD EN LA TELEINFORMTICA

INTRODUCCIN
La palabra Teleinformtica est constituida por la contraccin

de las palabras telecomunicaciones e informtica.

Se puede definir como la ciencia que estudia el conjunto de

tcnicas que es necesario usar para poder transmitir datos dentro de un sistema informtico o entre puntos de l situados en lugares remotos o usando redes de telecomunicaciones. Lo que se intenta con la teleinformtica es lograr que un ordenador pueda dialogar con equipos situados geogrficamente distantes, reconociendo las caractersticas esenciales de la informacin como si la conexin fuera local, usando redes de telecomunicaciones.

Generalidades Seguridad rea Teleinformtica

La

Teleinformtica en el momento actual se encuentra suficientemente implantada y desarrollada para dar servicios a la mayor parte de las necesidades existentes. Por otra parte, la rpida evolucin de los dispositivos electrnicos y en particular de la arquitectura de las computadoras y el desarrollo de software para control de procesos e interconexin de dispositivos, nos lleva a pensar que el futuro prximo traer nuevas ideas, redes y posibilidades de utilizacin de las mismas.

 En

principios, podemos decir que fundamentalmente la investigacin actual va encaminada al desarrollo de una red nica capaz de soportar simultneamente todos los servicios de voz, textos, datos e imgenes con suficientes garantas y que permita la conexin a ella de todas las redes ya existentes, tanto de rea local como de rea extensa. Una computadora desarrolla trabajo cuando ejecuta un programa, decimos que teleinformtica es la ciencia que trata la contabilidad y comunicacin a distancia entre procesos (conjunto de instrucciones que se ejecutan en una computadora).

Objetivos, Criterios de Auditoria rea Teleinformtica

La auditora interna se ve compelida a velar entre

otras cosas por la aplicacin y buen uso de las mismas. Ello ciertamente implica un muy fuerte compromiso: La auditora debe velar no slo por los activos de la empresa sino adems por su capacidad competitiva. Cuidar de esto ltimo significa difundir, apoyar y controlar las nuevas y buenas prcticas. As, haciendo uso del benchmarking puede verificar y promover las mejores prcticas para el mantenimiento de la ms alta competitividad. Ser competitivo es continuar en la lucha por la subsistencia o continuidad de la empresa.

Sntomas de Riesgo Teleinformtica

La seguridad sigue siendo el rea principal a auditar, hasta el punto de que en algunas entidades se cre inicialmente la funcin de auditora informtica para revisar la seguridad, aunque despus se hayan ido ampliando los objetivos.

En la auditora de otras reas pueden tambin surgir revisiones solapadas con la seguridad; as a la hora de revisar el desarrollo se ver si se realiza en un entorno seguro, etc.

Los controles directivos. Son los fundamentos de la seguridad: polticas, planes, funciones, objetivos de control, presupuesto, as como si existen sistemas y mtodos de evaluacin peridica de riesgos.

 El desarrollo de las polticas. Procedimientos, posibles estndares, normas y guas para la seguridad. Control de accesos adecuado. Tanto fsicos como lgicos, que se realicen slo las operaciones permitidas al usuario: lectura, variacin, ejecucin, borrado y copia, y quedando las pistas necesarias para el control y la auditora. Uso de contraseas, cifrado de las mismas, situaciones de bloqueo. Proteccin de datos. Origen del dato, proceso, salida de los datos.

 Comunicaciones y redes. Topologa y tipo de comunicaciones, posible uso de cifrado, protecciones ante virus. Tipos de transacciones. Proteccin de conversaciones de voz en caso necesario, proteccin de transmisiones por fax para contenidos clasificados. Internet e Intranet, correo electrnico, control sobre pginas web, as como el comercio electrnico.

 El entorno de produccin. Cumplimiento de

contratos, outsourcing. El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que stos resulten auditables. Con el uso de licencias (de los programas utilizados). La continuidad de las operaciones. Planes de contingencia o de Continuidad.

 Evaluacin de riesgos

Se trata de identificar riesgos, cuantificar su probabilidad e impacto y analizar medidas que los eliminen o que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto. Para evaluarlos hay que considerar el tipo de informacin almacenada, procesada y transmitida, la criticidad de las operaciones, la tecnologa usada, el marco legal aplicable, el sector de la entidad, la entidad misma y el momento. Los riesgos pueden disminuirse (generalmente no pueden eliminarse), transferirse o asumirse.

Tcnicas y Herramientas de Auditoria Relacionadas con Seguridad Teleinformtica

La Seguridad Informtica debe vigilar principalmente por las siguientes propiedades:

Privacidad - La informacin debe ser vista y manipulada nicamente por quienes tienen el derecho o la autoridad de hacerlo. Un ejemplo de ataque a la Privacidad es la Divulgacin de Informacin Confidencial.
Integridad - La informacin debe ser consistente, fiable y no propensa a alteraciones no deseadas. Un ejemplo de ataque a la Integridad es la modificacin no autorizada de saldos en un sistema bancario o de calificaciones en un sistema escolar.

Disponibilidad - La informacin debe estar en el momento que el usuario requiera de ella. Un ataque a la disponibilidad es la negacin de servicio .

Criptografa - La criptografa robusta sirve para proteger informacin importante de corporaciones y gobiernos, aunque la mayor parte de la criptografa fuerte se usa en el campo militar.