0.

Introduccin
A medida que la tecnologa ha ido evolucionando y con ella la envergadura de los sistemas
de informacin de las empresas, la seguridad del entorno informtico se ha convertido en
una de las grandes preocupaciones de los profesionales de esta actividad. Sin embargo, con
frecuencia, esta preocupacin no ha sido comprendida ni mucho menos compartida por
otros estamentos de la empresa, incluido el staff directivo. Este, an hoy en da, contempla
las inversiones en medidas de seguridad informtica como un gasto innecesario y elevado,
sin rentabilidad alguna.
En cierto modo tienen razn. Por un lado, no han sido concienciados de los riesgos
inherentes al procesamiento de la informacin mediante el uso de ordenadores, a lo que han
contribuido a veces los propios responsables del Departamento Informtico, que no han
sabido explicar con la suficiente claridad y con un lenguaje inteligible las potenciales
consecuencias de una poltica de seguridad insuficiente o incluso inexistente.
Por otro lado, debido a una cierta 'deformacin profesional' en la aplicacin de los criterios
de coste/beneficio, el directivo desconocedor de la informtica no acostumbra a autorizar
inversiones que no lleven implicito un beneficio demostrable, tangible y mensurable.
A pesar de ello, curiosamente, en otras actividades de la empresa cuya problemtica
concreta puede ser tambin desconocida por la Direccin no se produce este fenmeno.
Ningn director cuestionar, por ejemplo, la conveniencia de tener aseguradas las maquinas
utilizadas para el proceso productivo de su empresa. Sin embargo, los costes necesarios
para salvaguardar y mantener los sistemas de informacin que soportan la gestin de su
sociedad casi siempre son contemplados como un gasto intil.
Es evidente que, en casi todos los casos, el fin de la empresa no es la informtica, sino la
produccin de un determinado bien o servicio. No obstante, ello no debera ser obstculo
para contemplar los sistemas informticos en su conjunto (hardware, software, etc.) como
un elemento necesario para conseguir los objetivos de la empresa, al igual que las maquinas
existentes en el taller de fabricacin. Si al responsable de pro-duccin se le dan medios para

cumplir con su trabajo, exigindole a cambio como resultado una cantidad de producto, con
un nivel de calidad determinado y en un plazo especifico, por qu no actuar igualmente
con el responsable de informtica?
Es obvio que no hay dos empresas ni dos sistemas informticos iguales. Por este motivo,
los aspectos de seguridad que se citan mas adelante deben contemplarse como un intento de
establecer un 'denominador comn' que pueda ser aplicable al mayor universo posible de
empresas, y, en cada caso particular ebern adaptarse al contexto concreto. Si se desea
realizar un estudio en profundidad, este debera ser llevado a cabo por especialistas,
adecuando las medidas de seguridad a implantar al entorno en cuestin.
Este trabajo pretende exponer una serie de requerimientos mnimos en materia de
Seguridad Informtica que ayuden al directivo a comprender mejor la problemtica
implcita de los sistemas de informacin soportados por ordenador, obligndole, al mismo
tiempo, a reflexionar y realizar un 'examen de conciencia' sobre la existencia en su empresa
de las medidas de seguridad adecuadas, tanto en su nmero como en su rigor y nivel de
aplicacin.
La seguridad informtica ha de ser abordada en conjunto, ya que es mas importante - y
efectivo - tener un nivel homogneo de seguridad que la implantacin de medidas potentes
pero inconexas. Sin embargo, para su mejor comprensin y clasificacin, las acciones
propuestas se han agrupado, diferencindolas por reas de tratamiento o afectacin. 1.
Organizacin
Este apartado contempla el establecimiento de polticas y objetivos de seguridad y el
desarrollo de herramientas de gestin y coordinacin de las medidas de seguridad
necesarias.
1.1. Antecedentes Organizativos
Evidentemente, ante todo, debe existir en la empresa una poltica abierta y decidida en
materia de seguridad, impulsada por la propia Direccin. Cualquier accin individual o

incluso departamental que carezca no solo del beneplcito sino tambin del soporte y apoyo
explcito de la Direccin estar condenada al fracaso.
Debemos recordar, una vez mas, que la seguridad debe contemplarse como un conjunto
homogneo y coordinado de medidas encaminadas a la proteccin de los activos de
informacin. En consecuencia, construir murallas robustas cuando existen puertas de
acceso fcilmente vulnerables no solo es ineficaz sino que hace intiles las inversiones
y esfuerzos realizados.
1.2. Estructura organizativa interna
La Organizacin debe estar diseada de tal modo que facilite y favorezca la gestin de
la seguridad informtica. Y esto debe cumplirse tanto dentro del propio
Departamento de Informtica como en la ubicacin de este en el organigrama de la
empresa.
La composicin del Departamento y la definicin de funciones o descripcin de
puestos de trabajo debe ser tal que, adems de establecer claramente los cometidos de
sus integrantes, no provoque solapamientos ni deje responsabilidades por cubrir. En
este sentido, es muy importante la asignacin de funciones de seguridad. Debe
procurarse una segregacin adecuada, de mod que no existan, salvo casos de
Departamentos de muy reducida plantilla, personas cuyas funciones les otorguen plenos
poderes en todos los aspectos del mbito informatico.
Por otro lado, sera deseable que el Departamento de Informtica estuviera situado, dentro
del organigrama de la empresa, al mismo nivel que otros Departamentos de la empresa,
como pueden ser el Administrativo-Financiero, el Comercial, el de Personal o el de
Produccin. Histricamente, al ser la contabilidad una de las primeras actividades en
informatizarse, es frecuente aun hoy en da ver que el Departamento de Informtica
depende del rea de Administracin. Esta dependencia jerrquica normalmente lleva a un
nivel heterogneo de informatizacin, ya que, lgicamente, las primeras peticiones
atendidas son las del director del rea de la que se depende.

Sin embargo, actualmente la tendencia es que el Departamento de Informtica dependa

de la Direccin General, pues de este modo se consigue que la informtica sirva mejor a
los intereses generales de la empresa. La fijacin de prioridades se realiza de comn
acuerdo entre los distintos departamentos, con la supervisin y conformidad de la
Direccin.
1.3. Poltica de personal
Al capitulo de personal no se le otorga, a menudo. la suficiente importancia. Por muchas
medidas de seguridad que se implan-ten, la responsabilidad de su creacin y la supervisin
de su cumplimiento recae sobre las personas. Por tanto, siendo este el activo mas
importante de la empresa, parece razonable que exista una poltica de personal
adecuada, abarcando todos los aspectos (contratacin, remuneracin, informacin,
motivacin, incentivacin, formacin, reciclaje, etc.) que favorezca la obtencin no slo
del mximo rendimiento de las personas sino tambin de su integracin y realizacin dentro
de la empresa. Es vital contar con personal sobre el que poder depositar la confianza. Por el
contrario, el personal descontento representa una amenaza importante para la seguridad de
la empresa. Debe hacerse pblica la existencia de normas de seguridad y la posicin de la
empresa al respecto a fin de que sean conocidas y asumidas por el personal. Los
trabajadores recin incorporados deben ser informados lo antes posible de la poltica de la
empresa en materia de seguridad: no hay que olvidar que estos tomarn como referencia la
actitud y comportamiento del personal con mayor antigedad. Por este motivo, la
formacin e informacin en este sentido debe ser explcita y estar patente en todas las
actividades diarias.
1.4. Auditora y control
Aquellas empresas cuyo tamao as lo justifique deberan tener definida la funcin de
Auditora Interna asumida por personal de la propia empresa, con la responsabilidad de
efectuar peridicamente revisiones con el objetivo de comprobar el cumplimiento de la
normativa interna, especialmente en materia de seguridad, y de participar en la definicin
de los nuevos sistemas de informacin que se desarrollen e implanten, para asegurar la
incorporacin de elementos que faciliten su auditabilidad y control. Dado que esta situacin

slo se produce en empresas de ran envergadura, por un problema de economa de escala,

en empresas medianas y pequeas, en las que no pueda asumirse esta funcin con personal
interno, sera deseable la contratacin peridica de este tipo de revisiones a empresas
especializadas, exigiendo de stas no slo la deteccin de problemas reales y riesgos
potenciales sino tambin de un plan de acciones para prevenirlos, detectarlos y
solucionarlos, dndole as un valor aadido y una rentabilidad al servicio obtenido, ya que,
adems de realizar la labor de auditoria y control, se contrastan opiniones y se adquieren
nuevos conocimientos sobre el 'estado del arte' en cada materia.
1.5. Asuntos administrativos relacionados con la seguridad
La empresa debe disponer de servicios de mantenimiento, bien propios o contratados
externamente, en funcin de sus caractersticas y posibilidades. Estos servicios deben
abarcar tanto los equipos informticos como los equipos auxiliares (electricidad, agua, aire
acondicionado, etc.) siempre que de su buen estado dependa el funcionamiento de los
sistemas informticos.
Los equipos informticos deben estar perfectamente identificados (marca, modelo,
ubicacin, fecha de adquisicin, etc.) y cubiertos por las correspondientes plizas de
seguros. La Direccin de la empresa decidir si la cobertura ha de limitarse simplemente a
la indemnizacin por destruccin fsica y sustraccin, o contemplar adems
compensaciones por la perdida de capacidad de procesamiento u otros aspectos.
Los elementos de seguridad fsica (localizacin de extintores manuales, salidas de
emergencia si las hubiese, etc.) deben estar convenientemente sealizados. Anlogamente,
todo aviso o recomendacin relativo a seguridad ha de ser claramente visible (indicadores
de prohibicin de fumar, planos o croquis del edificio indicando el camino a escaleras y
salidas de emer-gencia, normas de actuacin en caso de evacuacin forzosa del edificio,
etc.). Estas medidas deben adecuarse a cada situacin particular, pero, en cualquier caso, su
implantacin es de muy reducido coste, tanto en dinero como en tiempo.
2. Entorno fsico (equipos e instalaciones)

Las medidas de seguridad fsica, como en muchos otros aspectos, han de enmarcarse en el
contexto concreto de cada empresa. No obstante, en cualquier caso, puede distinguirse entre
las que afectan a la propia sala de ordenadores, a la situacin de esta dentro del edificio y al
entorno donde se encuentra el edificio.
2.1. Aspectos que afectan a la ubicacin del ordenador principal (sala de ordenadores)
La sala dnde se ubicn los equipos principales de proceso de datos debe dotarse de medidas
de seguridad acordes con las caractersticas del equipo a proteger, su valor y su criticidad.
Obviamente, las condiciones fsicas de una sala que contenga un 'mainframe' han de ser
mucho ms rigurosas que las de la sala donde se ubique un 'mini'. Sin embargo, hay que
considerar que un miniordenador puede ser para una empresa tan crtico en comparacin
como un 'mainframe' para otra empresa, ya que, dependiendo del grado de dependencia que
tengan de sus sistemas informatizados, la avera o destruccin del ordenador puede
ocasionar grandes trastornos a la gestin de la misma, poniendo incluso en peligro su
supervivencia.
En cualquier caso. debe procurarse que el ordenador se encuentre en un lugar lo mas
aislado posible de las personas como de otros agentes externos. Lo ideal es disponer de una
habitacin o sala cerrada, de acceso restringido al menor numero posible de personas, con
unas condiciones ambientales suficientemente buenas para garantizar su correcto
funcionamiento. Las propias caractersticas del ordenador aconsejarn la implantacin de
medidas adicionales mas o menos sofisticadas.
El fuego es uno de los peligros mas importantes que acechan a las instalaciones
informticas. Conviene recordar que los circuitos elctricos siempre representan un peligro
potencial. Por otro lado, en los entornos informatizados hay una gran cantidad de elementos
combustibles (papel, soportes magnticos y otros consumibles). Por lo tanto, adems de
mantener estos elementos lo mas alejados posible del ordenador, es conveniente la
existencia de sistemas de alarma y deteccin de incendios. Asimismo, debe disponerse,
como mnimo, de extintores manuales, cuya situacin ha de ser fcilmente visible o estar
claramente sealizada. En grandes instalaciones es necesaria la existencia de equipos de
aire acondicionado, para evitar el sobrecalentamiento de las maquinas debido a la gran

cantidad de calor a disipar, y es asimismo recomendable la instalacin de detectores de

humedad, para evitar el riesgo de cortocircuito en caso de fuga en alguna conduccin de
agua.
Los equipos informticos son muy sensibles a las oscilaciones de tensin en el suministro
elctrico. Por ello, hay que asegurar no slo la calidad del suministro sino tambin la
continuidad del mismo, mediante la adquisicin de estabilizadores y sistemas de
alimentacin elctrica ininterrumpida llamados SAI (o UPS, utilizando las siglas en
ingles). Actualmente, existe en el mercado una gran variedad de dispositivos de este tipo,
con distintas potencias y autonoma de funcionamiento, con los que puede protegerse desde
un PC hasta una instalacin de grandes ordenadores.
Por ltimo, los soportes magnticos (cintas, cartuchos, disque-tes, etc.), especialmente si
contienen copias de seguridad de la informacin, deben guardarse en cajas fuertes o
armarios ignfugos (resistentes al fuego), ubicados lejos de la sala del ordenador. Aspecto
muy importante, pues si bien es necesario proteger fsicamente los equipos informticos, no
lo es menos el salvaguardar las copias de la informacin, imprescindibles para garantizar la
continuidad de proceso, en caso de perdida o corrupcin de los datos contenidos en el
ordenador.
2.2. Aspectos que afectan al edificio (estructurales)
Cuando la sala del ordenador se ubica en un stano, deben tomarse especiales precauciones
contra el peligro de inundaciones. Por este motivo, siempre que no estn dotadas de
especiales medidas de seguridad, este tipo de ubicaciones no es recomendable. Ello no
quiere decir que las salas situadas en una planta baja o por encimadel nivel del suelo estn
exentas de riesgos. Los suelos sometidos a vibraciones o la proximidad de maquinaria
pesada o de vas de comunicacin (ferrocarriles, puentes, etc.) pueden ocasionar daos en
los discos, por el peligro del 'aterrizaje' de los cabezales de lectura y grabacin. Por otro
lado, en grandes instalaciones, hay que considerar la resistencia del suelo, para evitar el
riesgo de hundimientos de la estructura por sobrecarga.
2.3. Aspectos que afectan a la zona donde se ubica el edificio (entorno)

Los edificios donde se ubiquen equipos informticos y que se encuentren prximos a ros,
rieras o lagos estn expuestos a posibles inundaciones. Asimismo, la proximidad a
aeropuertos y a vas frreas aade nuevos factores de riesgo por impacto o exceso de
vibracin. Por ultimo, debera evitarse la ubicacin de centros de proceso de datos en
edificios prximos a almacenes, talleres o lugares donde se acumulen productos
inflamables o explosivos, como gasolineras, fabricas de productos qumicos, etc,
3. Entorno Lgico (software y datos)
Este apartado aborda los aspectos asociados al componente lgico del sistema: programas y
datos. Para ello, se distingue entre las medidas para restringir y controlar el acceso a dichos
recursos, los procedimientos para asegurar la fiabilidad del software (tanto operativo como
de gestin) y los criterios a considerar para garantizar la integridad de la informacin.
3.1. Control de acceso
Sistemas de identificacin, asignacin y cambio de derechos de acceso, control de accesos,
restriccin de terminales, desconexin de la sesin, limitacin de reintentos, etc
3.2. Software de Base
Control de Cambios y versiones, control de uso de programas de utilidad, control de uso de
recursos y medicin de 'performance', ...
3.3. Software de Aplicacin
En este apartado se trata todo lo concerniente al software de aplicacin, es decir, todo lo
relativo a los aplicativos de gestin, sean producto de desarrollo interno de la empresa o
bien sean paquetes estndar adquiridos en el mercado.
3.3.1. Desarrollo de software
Metodologa: existe, se aplica, es satisfactoria. Documentacin: existe, esta actualizada,
es accesible.

Estndares: se aplican, como y quien lo controla. Involucracin del usuario.

Participacin de personal externo.
Control de calidad, ...
Entornos real y de prueba.
Control de cambios.
3.3.2. Adquisicin de software estndar
Metodologa, pruebas, condiciones, garantas, ...
3.4. Datos
Los datos es decir, la informacin que se procesa y se obtiene son la parte mas importante
de todo el sistema informtico y su razn de ser. Un sistema informatico existe como tal
desde el momento tn que es capaz de tratar y suministrar informacin. Sin sta, se reducira
a un conjunto de elementos lgicos sin ninguna utilidad.
En la actualidad la inmensa mayora de sistemas tienen la informacin organizada en
sendas Bases de Datos. Los criterios que se citan a continuacin hacen referencia a la
seguridad de los Sistemas de Gestin de Bases de Datos (S.G.B.D.) que cumplan normas
ANSI, si bien muchos de ellos pueden ser aplicables a los ficheros de datos convencionales.
3.4.1. Diseo de Bases de Datos
Es importante la utilizacin de metodologas de diseo de datos. El equipo de analistas
y diseadores deben hacer uso de una misma metodologa de diseo, la cual debe estar
en concordancia con la arquitectura de la Base de Datos elegida jerrquica, relacional,
red, orientada a objetos, etc.).

Debe realizarse una estimacin previa del volumen necesario para el almacenamiento
de datos basada en distintos aspectos tales como el numero mnimo y mximo de
registros de cada entidad del modelo de datos y las predicciones de crecimiento.
A partir de distintos factores como el nmero de usuarios que acceder a la
informacin, la necesidad de compartir informacin, las estimaciones de volumen, etc.
se deber elegir el S.G.B.D. mas adecuado a las necesidades de la empresa o proyecto
en cuestin.
En la fase de diseo de datos, deben definirse los procedimientos de seguridad,
confidencialidad e integridad que se aplicarn a los datos:
- Procedimientos para recuperar los datos en casos de cada del sistema o de corrupcin de
los ficheros.
- Procedimientos para prohibir el acceso no autorizado a los datos. Para ello debern
identificarlos.
- Procedimientos para restringir el acceso no autorizado a los datos. debiendo identificar los
distintos perfiles de usuario que accedern a los ficheros de la aplicacin y los subconjuntos de informacin que podrn modificar o consultar. - Procedimientos para mantener la
consistencia y correccin de la informacin en todo momento.
Bsicamente existen dos niveles de integridad: la de datos, que se refiere al tipo, longitud y
rango aceptable en cada caso, y la lgica, que hace referencia a las relaciones que deben
existir entre las tablas y reglas del negocio.
Debe designarse un Administrador de Datos, ya que es importante centralizar en
personas especializadas en el tema las tareas de redaccin de normas referentes al gestor de
datos utilizado, definicin de estndares y nomenclatura, diseo de procedimientos de
arranque y recuperacin de datos, asesoramiento al personal de desarrollo, etc...
Debe utilizarse un diccionario de datos nico, en el que se recojan las especificaciones
de diseo de los ficheros que sern utilizados.

3.4.2. Creacin de Bases de Datos

Debe crearse un entorno de desarrollo con datos de prueba, de modo que las
actividades del desarrollo no interfieran el entorno de explotacin. Los datos de prueba
deben estar dimensionados de manera que permitan la realizacin de pruebas de integracin
con otras aplicaciones, de rendimiento con volmenes altos, etc.
En la fase de creacin, deben desarrollarse los procedimientos de seguridad,
confidencialidad e integridad definidos en la etapa de diseo:
* Construccin de los procedimientos de copia y restauracin de datos.
* Construccin de los procedimientos de restriccin y con-trol de acceso. Existen dos
enfoques para este tipo de procedimientos:
- Confidencialidad basada en roles, que consiste en la definicin de los perfiles de
usuario y las acciones que les son permitidas (lectura, actualizacin, alta, borrado,
creacin/eliminacin de tablas, modificacin de la estructura de las tablas, etc.). Confidencialidad basada en vistas, que consiste en la definicin de vistas parciales de la
base de datos, asignndolas a determinados perfiles de usuario.
* Construccin de los procedimientos para preservar la integridad de la informacin. En los
S.G.B.D. actuales, la tendencia es la implantacin de estos procedimientos en el esquema
fsico de datos, lo cual incide en un aumento de la fiabilidad y en una disminucin del coste
de progra-macin, ya que el propio gestor de la base de datos controla la obligatoriedad de
los atributos de cada entidad, l dominio o rango de los datos, las reglas de integridad
referencial, etc.
3.4.3. Explotacin de Bases de Datos
Es importante la realizacin de inspecciones peridicas que comprueben que los
procedimientos de seguridad, confidencialidad e integridad de los datos funcionan
correctamente. Para ello, existen diversos mtodos y utilidades:

- Registro de accesos y actividad (ficheros log). Los S.G.B.D. actuales suelen tener
ficheros de auditoria, cuya misin es registrar las acciones realizadas sobre la base de datos,
haciendo referencia a nombre de objetos modificados, fecha de modificacin, usuario que
ha realizado la accin, etc.
- Registro de modificaciones realizadas por la aplicacin. Una aplicacin bien diseada
debera grabar informacin necesaria para detectar incidencias o fallos. Estos atributos,
tambin llamados pistas de auditoria, pueden ser la fecha de creacin o de ultima
modificacin de un registro, el responsable de la modificacin, la fecha de baja lgica de un
registro, etc.
- 'Tunning' peridico de la Base de Datos. Peridicamente, el Administrador de Datos
debe controlar el crecimiento y la evolucin de los ficheros de la base de datos a fin de
tomar las medidas necesarias para mejorar el rendimiento del sistema.
- Mantenimiento de la Base de Datos. Dado que la base de datos es un objeto
cambiante, peridicamente debe efectuarse su mantenimiento, ya que su estructura,
volumen, etc., se modifican con el paso del tiempo. Asimismo, deben revisarse los roles
de los usuarios para adecuarlos a los posibles cambios que se vayan produciendo.
4. Explotacin y continuidad
Este apartado versa sobre las medidas de seguridad necesarias para garantizar la
correcta ejecucin de los procesos informticos (el 'da a da') y la recuperacin del
servicio tras la aparicin de cualquier tipo de incidencia.
Es necesario tener, al menos, una relacin de los procesos 'batch' que han de
ejecutarse, indicando su cronologa de proceso, su interdependencia y los soportes
magnticos que se van a necesitar, a fin de tenerlos localizados y disponibles para su
utilizacin. En funcin de la complejidad de dichos procesos y de la envergadura de la
instalacin informtica, puede ser conveniente, incluso, disponer de un software de
soporte automatizado de la planificacin de procesos.

Este procedimiento. sea automatizado o manual, sirve para controlar posteriormente

los trabajos ejecutados y su correcta finalizacin. Adicionalmente, en caso de que los
procesos centralizados produzcan salidas impresas o en soporte magntico, hay que
establecer procedimientos de control encaminados a verificar que son entregados a sus
verdaderos destinatarios.
Otro aspecto importante es la definicin de un procedimiento de resolucin y reporte
de incidencias. Ha de crearse un siste-ma, manual o automatizado, que permita
conocer diariamente los problemas producidos en la explotacin del da anterior y la
solucin aplicada o el estado de cada incidencia no resuelta.
En diversas ocasiones, la resolucin de una incidencia pasa par la restauracin de toda
la informacin tratada o parte de ella. Para ello, deben crearse procedimientos de
recuperacin o restauracin de la informacin perdida o modificada errneamente
por un poceso. Sin embargo, ello no es posible si no se dispone de salvaguardas de la
informacin. Por consiguiente, tanto o mas importantes que los procesos de
restauracin son los sistemas de obtencin de copias de la informacin
(particularmente de los ficheros de datos), donde deben estar claramente explicitados
la periodicidad de obtencin, contenido, nmero de versiones a conservar,
identificacin del soporte magntico y de su ubicacin fsica.
Hay sistemas informticos mas sofisticados en los que se obtiene un 'log' de actividad
o un 'journal' en el cual se guardan cronolgicamente las actualizaciones realizadas de
modo interactivo sobre los ficheros, de modo que, complementa-riamente a la
restauracion de la informacion contenida en las copias, pueden recuperarse todas las
modificaciones efectuadas en los datos hasta el momento en que se haya producido un
fallo o interrupcin anormal del proceso del negocio, en caso de que un suceso grave
afecte a los sistemas informticos, eliminando o alterando de modo importante la
capacidad de proceso de la informacin. Por un lado, hay que elaborar un Plan de
Contingencia en el que se recojan las acciones a emprender para reanudar lo antes
posible la actividad informtica en un centro de proceso de datos alternativo, y que
ser tanto mas importante cuanto mayor sea la dependencia de los sistemas

informatizados que tenga la empresa. Adicionalmente, como complemento, es muy til

el establecimiento de una poltica de coberturas de seguros, que, actualmente, en
algunos casos, llega a cubrir las perdidas ocasionadas por la imposibilidad de procesar
la informacin.
5. Comunicaciones
Elementos de la red, gestin de la red, Encriptacin, 'pinchado de las lineas', ...
6. Ofimtica
En este apartado se aborda la seguridad de los diferentes elementos que componen el
entorno ofimtico, el cual ha ido adquiriendo progresivamente una mayor
importancia, no slo por el fuerte incremento de sus caractersticas y prestaciones sino
tambin por sus grandes posibilidades de intercomunicacin con otros equipos
informativos.
El ordenador personal (PC) se ha erigido como un elemento prcticamente
imprescindible en la informtica actual. Desde el punto de vista de seguridad puede
considerarse como un 'host' en pequeo, con el principal inconveniente de su mayor
vulnerabilidad. Tanto si se trata de un PC aislado, conectado con otros PCs formando
redes, o como va de entrada a otros sistemas de mayor envergadura, el entorno
ofimatico necesita logicamente sus propias medidas de seguridad.
6.1. Aspectos generales
La formacin del usuario es un elemento importante. El nivel de formacin debe ser el
adecuado para que los usuarios puedan manejar los equipos con la suficiente soltura y
eficacia, pero hay que saber si sus conocimientos podran permitirle saltarse o eludir
la seguridad establecida.
La informacin tratada en un PC puede ser de gran valor. El origen del PC como
equipo complementario provoca en ocasio-nes que se subestime el valor de la
informacin que contiene.

La utilizacin de un PC conlleva determinadas responsabilidades legales. El gerente

de la compaa debe saber que, en ultima instancia, es el responsable del contenido de
los PCs, especialmente en lo que se refiere al software instalado, que debe estar
protegido por las correspondientes licencias de uso.
Los equipos deben estar adecuados a las necesidades del usuario. La rpida evolucin
tanto de hardware como del software y de los requerimientos mnimos que este
necesita para funciona adecuadamente puede ocasionar una rpida obsolescencia o
inadecuacin para la funcin a desempear.
6.2. Entorno fsico
Aunque no precisen de medidas tan importantes y costosas como los 'mainframes' o
los 'minis', la ubicacin de los equipos es importante. Hay que vigilar que no estn
sometidos a temperaturas inadecuadas. ni cercanos a elementos elctricos que puedan
generar induccin o campos magnticos, etc.
Debe tenerse en cuenta la calidad del suministro elctrico. La alimentacin elctrica
debe ser lo suficientemente estable y poseer tomas de tierra, etc. Es muy recomendable
el uso de una UPS (tambin llamado SAI: Sistema de Alimentacin Ininterrumpida).
Los equipos deben estar cubiertos por las correspondientes plizas de seguros; los
elementos ofimticos deben incluirse en los sistemas de seguridad y prevencin
general de la empresa.
Deben suscribirse contratos de mantenimiento y controlar las averas. Al menos los
equipos crticos deben estar amparados por un contrato de asistencia tcnica que
garantice la solucin de las incidencias en un tiempo razonable, conociendo asimismo
la naturaleza y frecuencia de las averas del parque informtico de la empresa.
Debe controlarse el inventario del parque informatico. La proliferacin de equipos y
dispositivos hace imprescindible el mantenimiento de un inventario actualizado con
informacin lo mas detallada posible (marca, modelo, nmero de serie, fecha y valor
de adquisicin, ubicacin, etc.).

6.3. Entorno lgico

El acceso debe estar controlado y/o limitado. Puede ser aconsejable instalar un sistema
de 'passwords', as como de Software o Hardware que limite el uso de recursos tales
como disqueteras, particiones de disco duro, etc.
Debe disponerse de software antivirus. Adicionalmente, hay que efectuar revisiones
peridicas del contenido de los discos de los PCs. Por otro lado debe concienciarse a
los usuarios sobre los riesgos de trabajar con programas no homologados, sean
aplicaciones o juegos.
Debe controlarse el software instalado. Aunque sea con las mejores intenciones, no
debe permitirse que los usuarios intalen en sus equipos aplicaciones particulares,
tanto por motivos legales como por seguridad.
Han de efectuarse copias de seguridad. El usuario debe saber que es responsabilidad
suya realizar peridicamente copia de sus datos y mantenerlas en un lugar
suficientemente seguro.
El acceso a la informacin debe estar restringido. En el caso de tener informacin
distribuida, hay que ser muy cuidadoso con las posibilidades de edicin que se
faciliten al usuario.
6.4. Comunicaciones y Redes
Debe existir un administrador de la red. La persona que ejerza esta funcin ha de
conocer perfectamente las caractersticas de la instalacin y dnde y cmo estn
conectados cada uno de los terminales.
Debe cuidarse la calidad de la instalacin. El cableado debe estar bien instalado y
protegido contra interferencias, especialmente en ambientes industriales, donde estas
son mas frecuentes.

Debe garantizarse la continuidad de las operaciones. En algunos casos, especialmente

en instalaciones crticas puede ser conveniente montar una serie de servidores en
'mirroring' o sistemas anlogos para asegurar la continuidad del servicio informtico.
Evaluar el coste de las comunicaciones. Dada la continua evolucin de la tecnologa y
de las soluciones que ofrece el mercado, deben estudiarse las posibles alternativas para
elegir la de mejor relacin coste/beneficio.
Controlar los accesos del PC al Host. Un PC conectado al Host puede ser una puerta
que se escape al control general de la organizacin, por la que un usuario avanzado
acceda a informacin sensible a la que no este autorizado.
Controlar las conexiones a redes publicas. Las facilidades actuales para poder
conectarse a redes como Internet sin un control riguroso pueden multiplicar los
accesos de los usuarios a esos servicios, con el consiguiente incremento de costes para
la compaa.
6.5. EDI (Electronic Data Interchange)
Este apartado, cada da mas en boga, merece un tratamiento especial, dada su
incidencia en la operativa y seguridad de los sistemas informticos.
Los interlocutores deben estar convenientemente autentificados. Slo tienen derecho a
utilizar el servicio aquellas empresas que han sido autorizadas previamente mediante
algn tipo de protocolo y contrato que establezca qu tipo de documentos se
transmitirn y las responsabilidades que asumen sobre los procesos de transmisin.
Asimismo, slo deben tener facultad para enviar o recibir datos aquellos usuarios que
hayan sido autorizados.
El software debe ser suficientemente consistente. En cualquier momento se debe poder
conocer el estado de las transacciones enviadas y si se han completado con xito.
Considerar el valor econmico y legal de los datos transmitidos. Los ficheros que se
envan o reciben va EDI tienen un valor legal equivalente al impreso en papel, por lo

que son igualmente vinculantes. En consecuencia, hay que ser muy prudente con las
transacciones realizadas.
7. Bibliografa
The EDP Auditors Journal.
INFOSEC Business Advisory Group; "IBAG Framework for Commecial IT Security".
The Computer Law and Security report;"Security Guidelines in Information
Technology for the Professional Practitioner".
Aguilera, F.; "Seguridad del Software".
Lamere, J.M.; "Seguridad Informatica".
Gonzalo Alonso Rivas; "Auditoria Informtica".
J L. Morant, A. Ribagorda, J. Sancho; "Seguridad y proteccin de la informacin".
Franois Bergantine; "La seguridad Informtica". Mundo cientfico.
Tom Parker; "Information Security Handbook".
Jess Lpez de Lucas; "La seguridad del sistema de informacin y su gestin",
Novtica.
Francisco Lpez Lpez; "Seguridad en centros de proceso de datos". Novtica.
Gonzlez Aulln, J.L.; "La seguridad en un servicio de proceso de datos", Novtica.
Mario Velarde; "Seguridad en el entorno de bases de datos", Novtica. Manuel Gmez,
Jess Rodrguez, Daniel Tejerina; "La seguridad en informtica", Novtica.
Fill in your name and email address here