Escolar Documentos
Profissional Documentos
Cultura Documentos
Introduccin
A medida que la tecnologa ha ido evolucionando y con ella la envergadura de los sistemas
de informacin de las empresas, la seguridad del entorno informtico se ha convertido en
una de las grandes preocupaciones de los profesionales de esta actividad. Sin embargo, con
frecuencia, esta preocupacin no ha sido comprendida ni mucho menos compartida por
otros estamentos de la empresa, incluido el staff directivo. Este, an hoy en da, contempla
las inversiones en medidas de seguridad informtica como un gasto innecesario y elevado,
sin rentabilidad alguna.
En cierto modo tienen razn. Por un lado, no han sido concienciados de los riesgos
inherentes al procesamiento de la informacin mediante el uso de ordenadores, a lo que han
contribuido a veces los propios responsables del Departamento Informtico, que no han
sabido explicar con la suficiente claridad y con un lenguaje inteligible las potenciales
consecuencias de una poltica de seguridad insuficiente o incluso inexistente.
Por otro lado, debido a una cierta 'deformacin profesional' en la aplicacin de los criterios
de coste/beneficio, el directivo desconocedor de la informtica no acostumbra a autorizar
inversiones que no lleven implicito un beneficio demostrable, tangible y mensurable.
A pesar de ello, curiosamente, en otras actividades de la empresa cuya problemtica
concreta puede ser tambin desconocida por la Direccin no se produce este fenmeno.
Ningn director cuestionar, por ejemplo, la conveniencia de tener aseguradas las maquinas
utilizadas para el proceso productivo de su empresa. Sin embargo, los costes necesarios
para salvaguardar y mantener los sistemas de informacin que soportan la gestin de su
sociedad casi siempre son contemplados como un gasto intil.
Es evidente que, en casi todos los casos, el fin de la empresa no es la informtica, sino la
produccin de un determinado bien o servicio. No obstante, ello no debera ser obstculo
para contemplar los sistemas informticos en su conjunto (hardware, software, etc.) como
un elemento necesario para conseguir los objetivos de la empresa, al igual que las maquinas
existentes en el taller de fabricacin. Si al responsable de pro-duccin se le dan medios para
cumplir con su trabajo, exigindole a cambio como resultado una cantidad de producto, con
un nivel de calidad determinado y en un plazo especifico, por qu no actuar igualmente
con el responsable de informtica?
Es obvio que no hay dos empresas ni dos sistemas informticos iguales. Por este motivo,
los aspectos de seguridad que se citan mas adelante deben contemplarse como un intento de
establecer un 'denominador comn' que pueda ser aplicable al mayor universo posible de
empresas, y, en cada caso particular ebern adaptarse al contexto concreto. Si se desea
realizar un estudio en profundidad, este debera ser llevado a cabo por especialistas,
adecuando las medidas de seguridad a implantar al entorno en cuestin.
Este trabajo pretende exponer una serie de requerimientos mnimos en materia de
Seguridad Informtica que ayuden al directivo a comprender mejor la problemtica
implcita de los sistemas de informacin soportados por ordenador, obligndole, al mismo
tiempo, a reflexionar y realizar un 'examen de conciencia' sobre la existencia en su empresa
de las medidas de seguridad adecuadas, tanto en su nmero como en su rigor y nivel de
aplicacin.
La seguridad informtica ha de ser abordada en conjunto, ya que es mas importante - y
efectivo - tener un nivel homogneo de seguridad que la implantacin de medidas potentes
pero inconexas. Sin embargo, para su mejor comprensin y clasificacin, las acciones
propuestas se han agrupado, diferencindolas por reas de tratamiento o afectacin. 1.
Organizacin
Este apartado contempla el establecimiento de polticas y objetivos de seguridad y el
desarrollo de herramientas de gestin y coordinacin de las medidas de seguridad
necesarias.
1.1. Antecedentes Organizativos
Evidentemente, ante todo, debe existir en la empresa una poltica abierta y decidida en
materia de seguridad, impulsada por la propia Direccin. Cualquier accin individual o
incluso departamental que carezca no solo del beneplcito sino tambin del soporte y apoyo
explcito de la Direccin estar condenada al fracaso.
Debemos recordar, una vez mas, que la seguridad debe contemplarse como un conjunto
homogneo y coordinado de medidas encaminadas a la proteccin de los activos de
informacin. En consecuencia, construir murallas robustas cuando existen puertas de
acceso fcilmente vulnerables no solo es ineficaz sino que hace intiles las inversiones
y esfuerzos realizados.
1.2. Estructura organizativa interna
La Organizacin debe estar diseada de tal modo que facilite y favorezca la gestin de
la seguridad informtica. Y esto debe cumplirse tanto dentro del propio
Departamento de Informtica como en la ubicacin de este en el organigrama de la
empresa.
La composicin del Departamento y la definicin de funciones o descripcin de
puestos de trabajo debe ser tal que, adems de establecer claramente los cometidos de
sus integrantes, no provoque solapamientos ni deje responsabilidades por cubrir. En
este sentido, es muy importante la asignacin de funciones de seguridad. Debe
procurarse una segregacin adecuada, de mod que no existan, salvo casos de
Departamentos de muy reducida plantilla, personas cuyas funciones les otorguen plenos
poderes en todos los aspectos del mbito informatico.
Por otro lado, sera deseable que el Departamento de Informtica estuviera situado, dentro
del organigrama de la empresa, al mismo nivel que otros Departamentos de la empresa,
como pueden ser el Administrativo-Financiero, el Comercial, el de Personal o el de
Produccin. Histricamente, al ser la contabilidad una de las primeras actividades en
informatizarse, es frecuente aun hoy en da ver que el Departamento de Informtica
depende del rea de Administracin. Esta dependencia jerrquica normalmente lleva a un
nivel heterogneo de informatizacin, ya que, lgicamente, las primeras peticiones
atendidas son las del director del rea de la que se depende.
Las medidas de seguridad fsica, como en muchos otros aspectos, han de enmarcarse en el
contexto concreto de cada empresa. No obstante, en cualquier caso, puede distinguirse entre
las que afectan a la propia sala de ordenadores, a la situacin de esta dentro del edificio y al
entorno donde se encuentra el edificio.
2.1. Aspectos que afectan a la ubicacin del ordenador principal (sala de ordenadores)
La sala dnde se ubicn los equipos principales de proceso de datos debe dotarse de medidas
de seguridad acordes con las caractersticas del equipo a proteger, su valor y su criticidad.
Obviamente, las condiciones fsicas de una sala que contenga un 'mainframe' han de ser
mucho ms rigurosas que las de la sala donde se ubique un 'mini'. Sin embargo, hay que
considerar que un miniordenador puede ser para una empresa tan crtico en comparacin
como un 'mainframe' para otra empresa, ya que, dependiendo del grado de dependencia que
tengan de sus sistemas informatizados, la avera o destruccin del ordenador puede
ocasionar grandes trastornos a la gestin de la misma, poniendo incluso en peligro su
supervivencia.
En cualquier caso. debe procurarse que el ordenador se encuentre en un lugar lo mas
aislado posible de las personas como de otros agentes externos. Lo ideal es disponer de una
habitacin o sala cerrada, de acceso restringido al menor numero posible de personas, con
unas condiciones ambientales suficientemente buenas para garantizar su correcto
funcionamiento. Las propias caractersticas del ordenador aconsejarn la implantacin de
medidas adicionales mas o menos sofisticadas.
El fuego es uno de los peligros mas importantes que acechan a las instalaciones
informticas. Conviene recordar que los circuitos elctricos siempre representan un peligro
potencial. Por otro lado, en los entornos informatizados hay una gran cantidad de elementos
combustibles (papel, soportes magnticos y otros consumibles). Por lo tanto, adems de
mantener estos elementos lo mas alejados posible del ordenador, es conveniente la
existencia de sistemas de alarma y deteccin de incendios. Asimismo, debe disponerse,
como mnimo, de extintores manuales, cuya situacin ha de ser fcilmente visible o estar
claramente sealizada. En grandes instalaciones es necesaria la existencia de equipos de
aire acondicionado, para evitar el sobrecalentamiento de las maquinas debido a la gran
Los edificios donde se ubiquen equipos informticos y que se encuentren prximos a ros,
rieras o lagos estn expuestos a posibles inundaciones. Asimismo, la proximidad a
aeropuertos y a vas frreas aade nuevos factores de riesgo por impacto o exceso de
vibracin. Por ultimo, debera evitarse la ubicacin de centros de proceso de datos en
edificios prximos a almacenes, talleres o lugares donde se acumulen productos
inflamables o explosivos, como gasolineras, fabricas de productos qumicos, etc,
3. Entorno Lgico (software y datos)
Este apartado aborda los aspectos asociados al componente lgico del sistema: programas y
datos. Para ello, se distingue entre las medidas para restringir y controlar el acceso a dichos
recursos, los procedimientos para asegurar la fiabilidad del software (tanto operativo como
de gestin) y los criterios a considerar para garantizar la integridad de la informacin.
3.1. Control de acceso
Sistemas de identificacin, asignacin y cambio de derechos de acceso, control de accesos,
restriccin de terminales, desconexin de la sesin, limitacin de reintentos, etc
3.2. Software de Base
Control de Cambios y versiones, control de uso de programas de utilidad, control de uso de
recursos y medicin de 'performance', ...
3.3. Software de Aplicacin
En este apartado se trata todo lo concerniente al software de aplicacin, es decir, todo lo
relativo a los aplicativos de gestin, sean producto de desarrollo interno de la empresa o
bien sean paquetes estndar adquiridos en el mercado.
3.3.1. Desarrollo de software
Metodologa: existe, se aplica, es satisfactoria. Documentacin: existe, esta actualizada,
es accesible.
Debe realizarse una estimacin previa del volumen necesario para el almacenamiento
de datos basada en distintos aspectos tales como el numero mnimo y mximo de
registros de cada entidad del modelo de datos y las predicciones de crecimiento.
A partir de distintos factores como el nmero de usuarios que acceder a la
informacin, la necesidad de compartir informacin, las estimaciones de volumen, etc.
se deber elegir el S.G.B.D. mas adecuado a las necesidades de la empresa o proyecto
en cuestin.
En la fase de diseo de datos, deben definirse los procedimientos de seguridad,
confidencialidad e integridad que se aplicarn a los datos:
- Procedimientos para recuperar los datos en casos de cada del sistema o de corrupcin de
los ficheros.
- Procedimientos para prohibir el acceso no autorizado a los datos. Para ello debern
identificarlos.
- Procedimientos para restringir el acceso no autorizado a los datos. debiendo identificar los
distintos perfiles de usuario que accedern a los ficheros de la aplicacin y los subconjuntos de informacin que podrn modificar o consultar. - Procedimientos para mantener la
consistencia y correccin de la informacin en todo momento.
Bsicamente existen dos niveles de integridad: la de datos, que se refiere al tipo, longitud y
rango aceptable en cada caso, y la lgica, que hace referencia a las relaciones que deben
existir entre las tablas y reglas del negocio.
Debe designarse un Administrador de Datos, ya que es importante centralizar en
personas especializadas en el tema las tareas de redaccin de normas referentes al gestor de
datos utilizado, definicin de estndares y nomenclatura, diseo de procedimientos de
arranque y recuperacin de datos, asesoramiento al personal de desarrollo, etc...
Debe utilizarse un diccionario de datos nico, en el que se recojan las especificaciones
de diseo de los ficheros que sern utilizados.
- Registro de accesos y actividad (ficheros log). Los S.G.B.D. actuales suelen tener
ficheros de auditoria, cuya misin es registrar las acciones realizadas sobre la base de datos,
haciendo referencia a nombre de objetos modificados, fecha de modificacin, usuario que
ha realizado la accin, etc.
- Registro de modificaciones realizadas por la aplicacin. Una aplicacin bien diseada
debera grabar informacin necesaria para detectar incidencias o fallos. Estos atributos,
tambin llamados pistas de auditoria, pueden ser la fecha de creacin o de ultima
modificacin de un registro, el responsable de la modificacin, la fecha de baja lgica de un
registro, etc.
- 'Tunning' peridico de la Base de Datos. Peridicamente, el Administrador de Datos
debe controlar el crecimiento y la evolucin de los ficheros de la base de datos a fin de
tomar las medidas necesarias para mejorar el rendimiento del sistema.
- Mantenimiento de la Base de Datos. Dado que la base de datos es un objeto
cambiante, peridicamente debe efectuarse su mantenimiento, ya que su estructura,
volumen, etc., se modifican con el paso del tiempo. Asimismo, deben revisarse los roles
de los usuarios para adecuarlos a los posibles cambios que se vayan produciendo.
4. Explotacin y continuidad
Este apartado versa sobre las medidas de seguridad necesarias para garantizar la
correcta ejecucin de los procesos informticos (el 'da a da') y la recuperacin del
servicio tras la aparicin de cualquier tipo de incidencia.
Es necesario tener, al menos, una relacin de los procesos 'batch' que han de
ejecutarse, indicando su cronologa de proceso, su interdependencia y los soportes
magnticos que se van a necesitar, a fin de tenerlos localizados y disponibles para su
utilizacin. En funcin de la complejidad de dichos procesos y de la envergadura de la
instalacin informtica, puede ser conveniente, incluso, disponer de un software de
soporte automatizado de la planificacin de procesos.
que son igualmente vinculantes. En consecuencia, hay que ser muy prudente con las
transacciones realizadas.
7. Bibliografa
The EDP Auditors Journal.
INFOSEC Business Advisory Group; "IBAG Framework for Commecial IT Security".
The Computer Law and Security report;"Security Guidelines in Information
Technology for the Professional Practitioner".
Aguilera, F.; "Seguridad del Software".
Lamere, J.M.; "Seguridad Informatica".
Gonzalo Alonso Rivas; "Auditoria Informtica".
J L. Morant, A. Ribagorda, J. Sancho; "Seguridad y proteccin de la informacin".
Franois Bergantine; "La seguridad Informtica". Mundo cientfico.
Tom Parker; "Information Security Handbook".
Jess Lpez de Lucas; "La seguridad del sistema de informacin y su gestin",
Novtica.
Francisco Lpez Lpez; "Seguridad en centros de proceso de datos". Novtica.
Gonzlez Aulln, J.L.; "La seguridad en un servicio de proceso de datos", Novtica.
Mario Velarde; "Seguridad en el entorno de bases de datos", Novtica. Manuel Gmez,
Jess Rodrguez, Daniel Tejerina; "La seguridad en informtica", Novtica.
Fill in your name and email address here