a) SEGURIDAD FISICA CONTRA CATASTROIFES
Los terremotos son el desastre natural menos probable en la mayoría de organismos ubicados en España, simplemente por su localización geográfica: no nos encontramos en una zona donde se suelan producir temblores de intensidad considerable; incluso en zonas del sur de España, como Almería, donde la probabilidad de un temblor es más elevada, los terremotos no suelen alcanzan la magnitud necesaria para causar daños en los equipos. Por tanto, no se suelen tomar medidas serias contra los movimientos sísmicos, ya que la probabilidad de que sucedan es tan baja que no merece la pena invertir dinero para minimizar sus efectos.
De cualquier forma, aunque algunas medidas contra terremotos son excesivamente caras para la mayor parte de organizaciones en España (evidentemente serían igual de caras en zonas como Los Ángeles, pero allí el coste estaría justificado por la alta probabilidad de que se produzcan movimientos de magnitud considerable), no cuesta nada tomar ciertas medidas de prevención; por ejemplo, es muy recomendable no situar nunca equipos delicados en superficies muy elevadas (aunque tampoco es bueno situarlos a ras de suelo, como veremos al hablar de inundaciones). Si lo hacemos, un pequeño temblor puede tirar desde una altura considerable un complejo hardware, lo que con toda probabilidad lo inutilizará; puede incluso ser conveniente (y barato) utilizar fijaciones para los elementos más críticos, como las CPUs, los monitores o los routers. De la misma forma, tampoco es recomendable situar objetos pesados en superficies altas cercanas a los equipos, ya que si lo que cae son esos objetos también dañarán el hardware.
Las tormentas con aparato eléctrico, especialmente frecuentes en verano (cuando mucho personal se encuentra de vacaciones, lo que las hace más peligrosas) generan subidas súbitas de tensión infinitamente superiores a las que pueda generar un problema en la red eléctrica, como veremos a continuación. Si cae un rayo sobre la estructura metálica del edificio donde están situados nuestros equipos es casi seguro que podemos ir pensando en comprar otros nuevos; sin llegar a ser tan dramáticos, la caída de un rayo en un lugar cercano puede inducir un campo magnético lo suficientemente intenso como para destruir hardware incluso protegido contra voltajes elevados.
Sin embargo, las tormentas poseen un lado positivo: son predecibles con más o menos exactitud, lo que permite a un administrador parar sus máquinas y desconectarlas de la línea eléctrica 3.3. Entonces, >cuál es el problema? Aparte de las propias tormentas, el problema son los responsables de los equipos: la caída de un rayo es algo poco probable - pero no imposible - en una gran ciudad donde existen artilugios destinados justamente a atraer rayos de una forma controlada; tanto es así que mucha gente ni siquiera ha visto caer cerca un rayo, por lo que directamente tiende a asumir que eso no le va a suceder nunca, y menos a sus equipos. Por tanto, muy pocos administradores se molestan en parar máquinas y desconectarlas ante una tormenta; si el fenómeno sucede durante las horas de trabajo y la tormenta es fuerte, quizás sí que lo hace, pero si sucede un sábado por la noche nadie va a ir a la sala de operaciones a proteger a los equipos, y nadie antes se habrá tomado la molestia de protegerlos por una simple previsión meteorológica. Si a esto añadimos lo que antes hemos comentado, que las tormentas se producen con más frecuencia en pleno verano, cuando casi toda la plantilla está de vacaciones y sólo hay un par de personas de guardia, tenemos el caldo de cultivo ideal para que una amenaza que a priori no es muy grave se convierta en el final de algunos de nuestros equipos. Conclusión: todos hemos de tomar más en serio a la Naturaleza cuando nos avisa con un par de truenos...
Cierto grado de humedad es necesario para un correcto funcionamiento de nuestras máquinas: en ambientes extremadamente secos el nivel de electricidad estática es elevado, lo que, como veremos más tarde, puede transformar un pequeño contacto entre una persona y un circuito, o entre diferentes componentes de una máquina, en un daño irreparable al hardware y a la información. No obstante, niveles de humedad elevados son perjudiciales para los equipos porque pueden producir condensación en los circuitos integrados, lo que origina cortocircuitos que evidentemente tienen efectos negativos sobre cualquier elemento electrónico de una máquina.
Controlar el nivel de humedad en los entornos habituales es algo innecesario, ya que por norma nadie ubica estaciones en los lugares más húmedos o que presenten situaciones extremas; no obstante, ciertos equipos son especialmente sensibles a la humedad, por lo que es conveniente consultar los manuales de todos aquellos de los que tengamos dudas. Quizás sea necesario utilizar alarmas que se activan al detectar condiciones de muy poca o demasiada humedad, especialmente en sistemas de alta disponibilidad o de altas prestaciones, donde un fallo en un componente puede ser crucial.
Quizás los problemas derivados del entorno de trabajo más frecuentes son los relacionados con el sistema eléctrico que alimenta nuestros equipos; cortocircuitos, picos de tensión, cortes de flujo...a diario amenazan la integridad tanto de nuestro hardware como de los datos que almacena o que circulan por él.
El problema menos común en las instalaciones modernas son las subidas de tensión, conocidas como `picos' porque generalmente duran muy poco: durante unas fracciones de segundo el voltaje que recibe un equipo sube hasta sobrepasar el límite aceptable que dicho equipo soporta. Lo normal es que estos picos apenas afecten al hardware o a los datos gracias a que en la mayoría de equipos hay instalados fusibles, elementos que se funden ante una subida de tensión y dejan de conducir la corriente, provocando que la máquina permanezca apagada. Disponga o no de fusibles el equipo a proteger (lo normal es que sí los tenga) una medida efectiva y barata es utilizar tomas de tierra para asegurar aún más la integridad; estos mecanismos evitan los problemas de sobretensión desviando el exceso de corriente hacia el suelo de una sala o edificio, o simplemente hacia cualquier lugar con voltaje nulo. Una toma de tierra sencilla puede consistir en un buen conductor conectado a los chasis de los equipos a proteger y a una barra maciza, también conductora, que se introduce lo más posible en el suelo; el coste de la instalación es pequeño, especialmente si lo comparamos con las pérdidas que supondría un incendio que afecte a todos o a una parte de nuestros equipos.
Dentro del apartado anterior podríamos haber hablado del ruido eléctrico como un problema más relacionado con la electricidad; sin embargo este problema no es una incidencia directa de la corriente en nuestros equipos, sino una incidencia relacionada con la corriente de otras máquinas que pueden afectar al funcionamiento de la nuestra. El ruido eléctrico suele ser generado por motores o por maquinaria pesada, pero también puede serlo por otros ordenadores o por multitud de aparatos, especialmente muchos de los instalados en los laboratorios de organizaciones de I+D, y se transmite a través del espacio o de líneas eléctricas cercanas a nuestra instalación.
Para prevenir los problemas que el ruido eléctrico puede causar en nuestros equipos lo más barato es intentar no situar hardware cercano a la maquinaria que puede causar dicho ruido; si no tenemos más remedio que hacerlo, podemos instalar filtros en las líneas de alimentación que llegan hasta los ordenadores. También es recomendable mantener alejados de los equipos dispositivos emisores de ondas, como teléfonos móviles, transmisores de radio o walkie-talkies; estos elementos puede incluso dañar permanentemente a nuestro hardware si tienen la suficiente potencia de transmisión, o influir directamente en elementos que pueden dañarlo como detectores de incendios o cierto tipo de alarmas
Una causa casi siempre relacionada con la electricidad son los incendios, y con ellos el humo; aunque la causa de un fuego puede ser un desastre natural, lo habitual en muchos entornos es que el mayor peligro de incendio provenga de problemas eléctricos por la sobrecarga de la red debido al gran número de aparatos conectados al tendido. Un simple cortocircuito o un equipo que se calienta demasiado pueden convertirse en la causa directa de un incendio en el edificio, o al menos en la planta, donde se encuentran invertidos millones de pesetas en equipamiento.
Un método efectivo contra los incendios son los extintores situados en el techo, que se activan automáticamente al detectar humo o calor. Algunos de ellos, los más antiguos, utilizaban agua para apagar las llamas, lo que provocaba que el hardware no llegara a sufrir los efectos del fuego si los extintores se activaban correctamente, pero que quedara destrozado por el agua expulsada. Visto este problema, a mitad de los ochenta se comenzaron a utilizar extintores de halón; este compuesto no conduce electricidad ni deja residuos, por lo que resulta ideal para no dañar los equipos. Sin embargo, también el halón presentaba problemas: por un lado, resulta excesivamente contaminante para la atmósfera, y por otro puede axfisiar a las personas a la vez que acaba con el fuego. Por eso se han sustituido los extintores de halón (aunque se siguen utilizando mucho hoy en día) por extintores de dióxido de carbono, menos contaminante y menos perjudicial. De cualquier forma, al igual que el halón el dióxido de carbono no es precisamente sano para los humanos, por lo que antes de activar el extintor es conveniente que todo el mundo abandone la sala; si se trata de sistemas de activación automática suelen avisar antes de expulsar su compuesto mediante un pitido.
No hace falta ser un genio para comprender que las temperaturas extremas, ya sea un calor excesivo o un frio intenso, perjudican gravemente a todos los equipos. Es recomendable que los equipos operen entre 10 y 32 grados Celsius ([GS96]), aunque pequeñas variaciones en este rango tampoco han de influir en la mayoría de sistemas.
Para controlar la temperatura ambiente en el entorno de operaciones nada mejor que un acondicionador de aire, aparato que también influirá positivamente en el rendimiento de los usuarios (las personas también tenemos rangos de temperaturas dentro de los cuales trabajamos más cómodamente). Otra condición básica para el correcto funcionamiento de cualquier equipo que éste se encuentre correctamente ventilado, sin elementos que obstruyan los ventiladores de la CPU. La organización física del computador también es decisiva para evitar sobrecalentamientos: si los discos duros, elementos que pueden alcanzar temperaturas considerables, se encuentran excesivamente cerca de la memoria RAM, es muy probable que los módulos acaben quemándose.
PRACTICAS DEL PERSONAL DE SEGURIDAD:
Hoy, la tendencia es alinearse con mejores prácticas para construir una estrategia de seguridad exitosa. He aquí las 10 más importantes.
Las exigencias cada día son mayores para los responsables de la seguridad informática de las compañías. Y es que hoy, ya no basta con mantener una estrategia reactiva de protección. Los tiempos demandan proactividad, alineación con el negocio; en resumen: escaparse del entorno de los fierros para ser más estratégicos.
Cumplir con todo esto se antoja difícil sí, sin embargo, los encargados de seguridad tienen a su disposición para enfrentar dichas demandas a unas eficaces aliadas, las mejores prácticas.
Cuáles de esas best practices implementar dependerá de las necesidades de cada organización, sin embargo, consultores, analistas y proveedores expertos conforman, para b:Secure, el decálogo de las mejores prácticas recomendadas actualmente para un manejo más integral, estratégico y proactivo de la seguridad.
1. Alinearse con los objetivos del negocio. Antes de pensar en la tecnología a implementar y las políticas a seguir para la protección de una empresa, resulta fundamental analizar cuáles son los objetivos del negocio, sus procesos prioritarios, los activos más importantes, los datos más críticos; porque sólo así se asegurará de forma robusta aquello que realmente es importante para el funcionamiento de la compañía.
"Si se quieren colocar controles sin conocer qué se va a proteger, cuáles son los procesos, las áreas, los sistemas relevantes; se corre el riesgo de perder el rumbo", advierte Ricardo Lira, gerente de CARE de Ernst and Young.
Por lo tanto, conviene tomarse el tiempo necesario para analizar todos estos puntos y también para identificar "las regulaciones que afectan al negocio, el cumplimiento normativo, disposiciones locales e internacionales y el marco interno de políticas y procedimientos de la empresa", sugiere Carlos Zamora presidente de ISACA (Asociación de Auditoría y Control de Sistemas de Información)
Asimismo, resulta importante en este análisis averiguar cuál es el grado de riesgo tolerable por los accionistas, es decir "qué nivel de exposición están dispuestos a asumir y cuál es el monto que pueden arriesgar frente a una gran contingencia", precisa Zamora.
Por último, "viene bien hacer una clasificación de la información para evaluar cuál es la más crítica, con el fin de dotarla de los mayores controles", refiere Octavio Amador, director de servicios de consultoría de Symantec.
Ya con toda esta información se pueden establecer los objetivos del área de protección y las acciones a seguir, pero basados en los requerimientos y metas de la organización.
2. Elaborar un mapa de riesgos. Una vez que ya se tiene identificado qué es lo prioritario dentro del negocio, conviene hacer un análisis de riesgos y vulnerabilidades para establecer de forma clara cuáles son las amenazas a los activos críticos de la organización.
Sólo que en este análisis no se debe olvidar considerar tanto infraestructura como procesos y personal. "En el mapa de riesgos debe ubicarse, por ejemplo, qué personas no tienen los conocimientos suficientes como para operar los sistemas sin comprometerlos o quiénes son negligentes o descuidados", afirma Francisco Puente, CEO de GCP Global.
¿Cómo identificar esto? Una alternativa es evaluar al personal respecto a cómo maneja el intercambio de información o sus contraseñas. "La manera común es aplicar pruebas y ver cómo ejecutan los procedimientos, pero hay otras opciones para llegar realmente al fondo de su cultura de protección, una de éstas es: decirles que compartir los passwords no es tan riesgoso y ver cuál es su reacción", indica Puente.
A su vez, Zamora comenta que incluso se debería analizar qué tan relevante es en las actividades diarias de los empleados el tema de seguridad. De hecho, "eso tendría que ser parte de la evaluación del desempeño del personal".
Más aún, agrega, habría que incluir en las pruebas a los candidatos a ingresar a la empresa alguna para conocer su nivel de cultura de protección.
Todo esto, con la idea de generar un modelo visual del mapa de riesgos de la empresa, en donde se considere todo lo crítico y no sólo las cuestiones de infraestructura.
Pero eso no es todo, para redondear esta mejor práctica conviene, además, no olvidarse de cuantificar los riesgos y exponer a los directores cuál sería la pérdida potencial de los activos frente a las posibles amenazas. Algo que además de poner en alerta a la alta dirección sobre los peligros y su impacto, ayudará a justificar la inversión solicitada para la estrategia de protección.
3. Diseñar un plan o programa estratégico de seguridad de la información. Tomando como punto de partida el análisis de riesgos, hay que elaborar un plan, con sus debidas metodologías y prácticas, pero alineado con el de la compañía, para que todo lo hecho por el área de seguridad vaya en sentido de las iniciativas del negocio.
Esto porque en ocasiones se pone foco en aspectos que realmente no le agregan valor a la organización. "En algunas empresas sucede que el área de seguridad gasta mucho en la parte perimetral y luego resulta que en realidad eso no le aporta tanto a la firma", sentencia Lira.
Por eso es conveniente buscar esta alineación con el negocio, así como también lo es "fijar al plan de protección un ciclo de vida y basarlo en estándares", recomienda Juan José Gutiérrez, director del programa ejecutivo de seguridad de Gartner en México.
Coincide con él, Rommel García Vega, gerente senior de la práctica de seguridad informática de KPMG, quien resalta la importancia de establecer objetivos con plazos bien definidos, dentro de dicho plan. "Hay metas que se pueden fijar a tres meses, otras a seis meses y las de largo plazo a máximo dos años, pero no más, porque ya no sería viable".
4. Definir e implementar políticas y lineamientos de seguridad. Una práctica muy importante es establecer reglas y lineamientos para el manejo seguro de la información, los sistemas y los procedimientos de la empresa.
Dichas políticas deben transmitirse e implementarse a través de estructuras jerárquicas y "no sólo colocarlas en un repositorio de datos, sin darles el contexto debido", asegura el analista de Gartner.
Pero ojo, las políticas que se establezcan deben ser flexibles, cuando así convenga, para no entorpecer el funcionamiento de la organización ni afectar el trabajo de los usuarios internos.
Cada lineamiento debe establecer las consecuencias de no seguirlo y frente a cualquier desacato se debe aplicar la sanción correspondiente, "porque de lo contrario las políticas se vuelven libros muertos, que nadie respeta", sentencia el especialista de KPMG.
Claro que en todo esto se debe incluir no sólo a los empleados internos, sino también a todos aquellos terceros con quienes la empresa intercambia información o procesos.
"La cadena de seguridad no empieza ni termina dentro de la organización, viene desde los proveedores y abarca a los clientes", apunta Zamora. Por lo tanto, hay que considerarlos e incluirlos en las políticas para el manejo seguro de la información y los procesos del negocio.
5. Capacitar para asegurar. Los entrevistados coinciden en que hoy una de las mejores prácticas es educar y capacitar a los miembros de la organización respecto a las amenazas y a la conveniencia de acatar las políticas de protección para no abrir vulnerabilidades.
Sin embargo, el CEO de GCP Global subraya que esto no se logra organizando "campañitas generales de concientización", es necesario ir mucho más allá.
Entre quienes se identificó (en el análisis previo de la situación general de la organización) que son personal de riesgo, por su falta de cultura de seguridad o su negligencia, es necesario iniciar una labor de concientización. En cuanto a aquellos que tienen acceso a información crítica para el negocio, lo más adecuado es brindarles la capacitación necesaria respecto a cómo manejarla.
En este sentido, Lira opina que lo correcto es empezar con las áreas y personas de mayor riesgo, debido a la información que manejan, y tener un énfasis constante en ellas. Después hay que irse a la concientización a nivel compañía, porque de una u otra forma todos tienen acceso a datos, aunque lo conveniente es avanzar por grupos o áreas e incorporar el tema de seguridad en los cursos de inducción, para incluir a los nuevos empleados.
Además, hay que considerar que las pláticas y cursos no son la única forma de transmitir las políticas ni de educar a los empleados. Se pueden enviar mensajes en protectores de pantalla, a través de la intranet, etcétera.
6. Conformar un equipo y un comité de seguridad. Formalizar la función del oficial de seguridad es una práctica muy recomendable hoy en día.
Pero hay que considerar que este personaje requiere un equipo de trabajo, conformado por especialistas en la materia y con conocimientos en diferentes campos de la misma.
Idealmente, este equipo debe ser independiente del departamento de informática, porque "si esta función se integra dentro del área de sistemas, probablemente se caerá en el dilema de operar o asegurar", señala García, de KPMG.
En cuanto a la cuestión de a quién le reporta el área de seguridad, lo ideal es que sea a la dirección general, porque el director de sistemas está demasiado absorto en los temas operativos como para darle el peso necesario a las cuestiones de protección.
Además, si hay oportunidad, también es una buena práctica crear un comité de seguridad, en el que se incluya a miembros de las diferentes áreas de la organización y a representantes de la alta dirección, "para entre todos delinear qué es lo más importante a cubrir y ejecutar en esta materia", considera García.
7. Desarrollar aplicaciones seguras desde su origen. El software que las compañías diseñen, ya sea externa o internamente, debe contemplar cuestiones de seguridad, para que desde el origen cuente con la mayor protección posible frente a amenazas.
Esto que pareciera tan básico es algo que todavía se está descuidando. Los programas y las aplicaciones de desarrollo in house (e incluso los comerciales) se diseñan sin considerar los factores requeridos para su protección, lo cual se convierte en una de las principales causas-raíz de los incidentes.
Una manera de enfrentar este problema es establecer una mayor colaboración entre quienes se encargan de desarrollar las aplicaciones y el personal encargado de la seguridad informática.
En Estados Unidos, menciona Lira, ya es más frecuente que el personal de desarrollo de software se reúna con el de seguridad para establecer en conjunto los lineamientos que en esta materia deben cumplir las aplicaciones y ejecutar las pruebas correspondientes en la infraestructura.
De manera que en México convendría empezar a dotar de más peso a este trabajo conjunto e incluso, considera Lira, transformarlo en un estándar tanto para las empresas de software comercial como para aquellas que hacen desarrollos in house.
8. Mantener bajo control al outsourcing. Todas las actividades desarrolladas en outsourcing deben bajarse a niveles de servicio para medirlos, "ya sea de forma cuantitativa o cualitativa (la opinión de los usuarios respecto a esto), porque muchas empresas están utilizando este esquema, pero sin aplicar los controles adecuados" considera Enrique Bertran, director de la práctica de soluciones de seguridad de la información de PriceWaterHouse Coopers.
La periodicidad de estas evaluaciones dependerá del tipo de servicio involucrado. "La atención a los incidentes debe medirse frente a cada uno de estos, pero otras cuestiones pueden calificarse cada mes, cada 60 días o mínimo cada seis meses", precisa Bertran.
9. Medir el nivel de seguridad en la compañía. Para conocer el avance de la estrategia de protección, y ver si los objetivos se están cumpliendo, es necesario medir su progreso, a través de métricas, con las que se evalúe tecnología, procesos y personas.
Las alternativas para esto son muchas y muy variadas. "Se puede evaluar el proceso de administración de incidentes, las vulnerabilidades, el control de versiones y el grado de conciencia del personal, por ejemplo", apunta Lira.
También es posible recurrir a mediciones del número de deficiencias identificadas en compliance en la última auditoría, "el número de políticas que no se cumplen, los usuarios capacitados o la cifra de alertas procesadas", sugiere Gutiérrez.
Los resultados de todo esto deben comunicarse a la alta dirección, porque sus miembros necesitan saber cómo evoluciona la seguridad de la información. Pero hay que plasmar los avances de forma sencilla. "Lo más conveniente es llegar con una presentación corta y decir: en aplicaciones críticas estamos así; en operaciones de esta forma, o bien se pueden utilizar semáforos, para mostrar el avance de la estrategia y el estado de los activos", expresa el consultor de Ernst and Young.
Lo más recomendable es que el encargado de seguridad reporte cada mes a la alta dirección, el avance de su estrategia, porque además el seguimiento debe ser continuo.
Algo que ayuda a esto es el monitoreo, "para tener una fotografía de la infraestructura, tanto en configuraciones, como en aplicaciones y equipos", comenta Juan Ovalle de Attachmate.
10. Definir y probar un Plan de Recuperación en Caso de Desastres (DRP). Ya está más que perneada entre las compañías la conveniencia de establecer estrategias de continuidad para el negocio. Y aunque la mayoría de las organizaciones no dispone de un site alternativo, si cuentan con los respaldos suficientes para recuperar su información.
Sin embargo, ya sea que se opte por implementar un DRP completo y en forma o haya que respaldar sólo algunos componentes, incluso en el mismo edificio, conviene considerar ciertos factores para no toparse después con sorpresas.
Unos de estos aspectos son: validar que los sistemas de contingencia funcionan adecuadamente y están actualizados, así como comprobar que los procesos y la información se pueden recuperar.
Además es necesario hacer una análisis de impacto al negocio, para ver si realmente se está respaldando y recuperando lo verdaderamente importante y si se han contemplado todos los escenarios posibles, porque en muchos casos esto se omite.
"Lo que se hace es algo más técnico y sustentado sólo en el sentido común, se evalúan servidores o aplicativos y se procede a protegerlos, pero el 90% de las compañías no realiza un verdadero análisis de impacto al negocio para ver qué debe contemplar su DRP o su plan de continuidad", enfatiza Bertran.
Algo que tampoco se debe pasar por alto en todo esto es alcanzar los niveles de servicio esperados por la dirección en los sistemas y procesos recuperados, así como tener bien establecido el tiempo tolerable por la directiva para tener fuera un sistema o proceso.
Por supuesto, no es necesario implementar a pie juntillas todas estas prácticas, porque las recetas no existen en esto, cada empresas deberá utilizar las que le sean más funcionales e incluso otras.
Así se hace en Alestra
Ricardo Morales, gerente de seguridad de informática e implementación de servicios menciona que en esta compañía se utilizan mejores prácticas como: plan de continuidad del negocio; análisis de riesgo y métricas que se monitorean y pasan por auditorías.
Además existe en la empresa un comité de seguridad, con validez oficial sobre aprobaciones, cuyas juntas ordinarias se realizan de forma bimestral con el fin de evaluar el seguimiento de los proyectos de protección, tipos de vulnerabilidades y manejo de incidentes.
Por otra parte, los objetivos del negocio y los de seguridad tienen tal alineación, que la dirección general y el mencionado comité han dado su total aval al sistema de protección.
Asimismo, la capacitación del personal respecto al tema de seguridad se considera aquí algo crítico, además dentro de las auditorías se verifica que quienes operan los sistemas lo hagan de la forma correcta.
Así se hace en Infonavit
Entre las mejores prácticas que maneja esta institución, apunta Ricardo Flores, gerente de auditoría de IT, destacan: el manejo de una cultura de seguridad informática institucional, que reduce en gran medida los problemas, porque genera conciencia y responsabilidad en todos.
También se manejan cartas responsivas de altas de usuarios, en las cuales se incluyen las responsabilidades que adquiere el personal con la asignación de su cuenta.
Además se usan bitácoras y Logs qe permitan rastreabilidad de las transacciones e identificar en cualquier momento quién realizó cada operación, quién la autorizó, cuándo fue realizada, desde dónde y toda esta información está disponible para el personal de auditoría.
ELEMENTOS TECNICOS PARA LA APLICACION DE SISTEMAS DE SEGURIDAD:
PROCEDIMIENTOPARA LA APLICACION EN SISTEMAS DE SEGURIDAD PARA SOFTWARE Y HARDWARE: