Escolar Documentos
Profissional Documentos
Cultura Documentos
décadas ha permitido el crecimiento exponencial del servicio de Internet. Al presente todos pueden
acceder a este servicio. La información ha sido globalizada.
Habiendo comenzado en los años 80 con algunos miles de usuarios hoy se benefician de este
servicio miles de millones. Tanto es así que según las últimas estadísticas el número de
direcciones IP actualmente en uso en Internet alcanza los 3/4 de la capacidad total que permite el
rango de direcciones IPv4.
Particularmente, las nuevas tendencias revelan un creciente consenso en torno al impacto que tiene
la innovación tecnológica para el desarrollo económico y mejorar el nivel de vida de los
ciudadanos. La innovación tecnológica es el resultado de quienes la crean y difunden
(Universidades y Centros de Enseñanza, Centros de investigación), quienes la incentivan (Sector
gubernamental) y quienes la utilizan económicamente (las empresas).
Las facilidades para conectarse a las redes hay aumentado; además, las aplicaciones y el software
son cada vez más amigables y accesibles, de esto modo todos tienden a conectarse en una red para
compartir los recursos, pero esa facilidad de conexión también representa un aumento en los
riesgos de que la información y los recursos de una organización puedan ser vulnerados.
Es por eso que se deben implementar medidas de seguridad para proteger la información y los
activos de la Empresa.
Seguridad significa disponer de medios que permitan reducir lo más que se pueda, la
vulnerabilidad de la información y de los recursos; aunque no se puede alcanzar el 100% de
seguridad, la tendencia debe ser llegar a ese valor extremo.
Para el ser humano como individuo, la seguridad de la información tiene un efecto significativo
respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura e
idiosincrasia de la sociedad donde se desenvuelve.
La clave está en que la organización invierta recursos en aplicar herramientas que mejoren la
seguridad.
A continuación se citarán las consideraciones inmediatas que se deben tener para elaborar la
evaluación de la seguridad, pero luego se tratarán las áreas específicas con mucho mayor detalle.
Uso de la Computadora
Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a:
Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las
computadoras de acuerdo a:
El tipo y la cantidad de información que se introduce en las computadoras debe considerarse como
un factor de alto riesgo ya que podrían producir que:
Se debe tener conocer que el delito más común está presente en el momento de la programación,
ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que:
Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están
ligadas al sistema de información de forma directa y se deberá contemplar principalmente:
También se debe observar con detalle el sistema ya que podría generar indicadores que pueden
actuar como elementos de auditoría inmediata, aunque esta no sea una especificación del sistema.
Se debe ver muy cuidadosamente el carácter del personal relacionado con el sistema, ya que
pueden surgir:
Es muy importante no olvidar las instalaciones físicas y de servicios, que significan un alto grado
de riesgo. Para lo cual se debe verificar:
Es muy importante el crear una conciencia en los usuarios de la organización sobre el riesgo que
corre la información y hacerles comprender que la seguridad es parte de su trabajo. Para esto se
deben conocer los principales riesgos que acechan a la función informática y los medios de
prevención que se deben tener, para lo cual se debe:
Este estudio se realiza considerando el costo que se presenta cuando se pierde la información vs el
costo de un sistema de seguridad.
Asi mismo , podemos conocer los elementos que rigen la implementación de la seguridad vincula
la participación de tres elementos generales: personas, procesos y tecnología.
Personas
Personas que usan o tienen un interés en la seguridad de la información: autoridades, funcionarios,
académicos, alumnos, personal de base, de confianza y demás empleados; clientes, proveedores,
prestadores de servicios, contratistas y consultores.
Procesos
Conjuntos de actividades mutuamente relacionadas o que interactúan o transforman elementos de
entrada en resultados. Es decir, es toda actividad necesaria para lograr los objetivos de negocio.
Los procesos están descritos en los procedimientos y prácticamente todos implican información o
dependen de ella, por eso ésta resulta ser un activo crítico.
Tecnología
La tecnología aplicada a la organización permite el manejo adecuado de la información, el
desarrollo de las actividades organizacionales y la resolución de problemas. La tecnología permite
elaborar y manipular información, así como su almacenamiento, procesamiento, mantenimiento,
recuperación, presentación y difusión por medio de señales acústicas, ópticas o electromagnéticas.
Por otro la es responsabilidad también de la gerencia la revisión del SGSI.La alta dirección tiene
que revisar el sistema a intervalos previamente planificados, para asegurar su continua idoneidad,
conveniencia y efectividad. Aquí se incluyen oportunidades de mejora y la necesidad de aportar
cambios en el SGSI. Se trata de revisiones que deben estar documentadas y registradas.La revisión
gerencial debe estar alimentada de resultados de auditorías, retroalimentación de las partes
interesadas, técnicas de mejora del desempeño y efectividad del SGSI, acciones correctivas,
amenazas no tratadas de forma correcta, acciones de seguimiento, cambios que afecten al sistema
y recomendaciones para una mejora.
Errores humanos: Como su nombre lo indica resultan de la acción humana, como ser: passwords
fácilmente vulnerables, backup de los sistemas mal hechos, interrupción de los servicios,
configuraciones incompletas de los dispositivos.
Software ilegal: Las consecuencias de copiar software ilegal conducen a vulnerabilidades de los
sistemas informáticos, ya que no se cuenta con las actualizaciones que los desarrolladores
proporcionan, dentro del software ilegal se tienen también otras amenazas como los códigos
maliciosos.
Código maliciosos: Es todo programa o parte de programa (software) que ocasiona problemas en
los sistemas informáticos, como ser los virus, troyanos, gusanos, puertas traseras, cuando se
activan en los sistemas finales. Este tipo de amenaza ha evolucionado por la conectividad cada vez
mayor de Internet y por los recursos de engaño de los que se valen los atacantes.
Hemos indicado líneas arriba que es necesario estimar los riesgos a los que están sujetos la red, los
servidores, los dispositivos de redes. Si bien, es difícil realizar una evaluación exacta de la
información, se podría intentar evaluarla suponiendo su pérdida o alteración.
Ø Control: Debería establecerse un proceso de autorización para la gestión de cada nuevo recurso
de tratamiento de la información.
Ø Guía de implementación: Deberían considerarse los siguientes controles:
Los nuevos medios deberían tener la aprobación adecuada de la gerencia de usuario, autorizando
su propósito y uso. También debería obtenerse la aprobación del directivo responsable del
mantenimiento del entorno de seguridad del sistema de información local, asegurando que cumple
con todas las políticas y requisitos de seguridad correspondientes.
Dónde sea necesario, se debería comprobar que el hardware y el software son compatibles con los
demás dispositivos del sistema.
Acuerdos de confidencialidad.
La seguridad ligada a los recursos humanos , lo podemos ver en la ISO 27001 que hace posible
que una organización incluya los criterios de seguridad de la información en la gestión de los
Recursos Humanos.La seguridad en esta gestión debe tener en cuenta la selección y contratación,
la formación de empleados y la salida de la empresa.Selección y contrataciónLa incorporación de
una persona a una empresa o el ascenso interno implica un nuevo acceso a sistemas de
información sensibles para la organización, y que con ISO-27001 se podrá proteger. Por esto,
deberían realizarse acciones preventivas para evitar riesgos derivados de un mal uso de la
información.Al margen de esto, antes de contratar a una persona se debería comprobar todos sus
antecedentes, teniendo en cuenta la legislación en privacidad y protección de datos, incluyendo el
contenido del currículum, las certificaciones académicas y profesionales.
Durante la contratación Se tienen que definir las responsabilidades de la dirección para garantizar
que la seguridad se aplica en todos los puestos de trabajo de las personas en la empresa. A todos
los usuarios empleados, contratistas y terceras personas se les debe proporcionar un adecuado
nivel de concienciación, educación y capacitación en los procedimientos de seguridad y en la
utilización de los medios disponibles para procesar la información con el fin de minimizar los
posibles riesgos de seguridad.
Es necesario establecer un proceso disciplinario normal para gestionar las brechas en seguridad.
La responsabilidad con respecto a la protección de la información no finaliza cuando un empleado
se va a casa o abandona a la empresa. Es necesario asegurarse de que esto se documenta de forma
clara con los materiales de concienciación, los contratos de empleo, etc.Se debe contemplar la
posibilidad de que se lleve a cabo una revisión anual por parte de recursos humanos de los
contratos junto a los trabajadores para refrescar las expectativas expuestas en los términos y las
condiciones de empleo, incluyendo el compromiso con la seguridad de la información.
Gestión de activos:
La gestión de activos (Asset Management en inglés) tiene dos acepciones, una en el mundo
empresarial y otra en la banca.
Consiste en obtener el máximo rendimiento de los bienes o recursos, es decir de todo aquello
que tenga valor para una organización (sus activos). Esta gestión puede integrarse en los sistemas
de gestión de la organización y certificarse bajo la norma ISO 55001, de manera similar a la
Calidad (ISO 9001), el medio ambiente (ISO 14001), la eficiencia energética (ISO 50001), etc.
Clasificación de la información :
Confidencial.
Es aquel cumulo de datos que presentan un contenido generalizado, pero que solo puede estar a la
vista de los altos ejecutivos; por lo general son catalogados de confidencial todos y cada uno de
los datos que se disponen en el departamento de recursos humanos, ya que el mismo contempla
toda las nociones sobre los empleados.
Restringida.
Es la información que reside solo en el área de gerencia, y pasa a ser considerada como datos
estratégicos, la misma se resume al cumulo de actividades que una empresa lleva a cabo, como
son las cifras sinceras de los ingresos financieros, las evaluaciones de los empleados para
contemplar los debidos ascensos como también los egresos.
Lo cierto es que la misma, suele catalogarse de restringida con el fin de protegerla de manos
inescrupulosas, muchas veces la información restringida se haya copada por los intereses ocultos
de una empresa, o por la descripción exacta de la composición de sus productos.
Uso Interno.
Esta suele considerarse como la información que se dispone en cada uno de los departamentos y
que es del conocimiento del personal que labora en estos.
En efecto, esta información esta compuestas por datos que solo pueden ser entendidos y operados
por el personal que la manejo y crea con sus actividades, de aquí que las misma suele ser
exclusiva de cada área, no pudiendo ser compartida con demás departamentos al menos que los
ejecutivos determinen lo contrario.
Todo público.
Una vez que se realiza la depuración de los datos y se les clasifica por su importancia y nivel
necesario de protección para resguardarlos de daños de terceros, quedan datos que pueden ser
expuestos a todo el personal.
En otro orden de ideas tenemos el control de acceso que no es mas que un sistema automatizado
que permite de forma eficaz, aprobar o negar el paso de personas o grupo de personas a zonas
restringidas en función de ciertos parámetros de seguridad establecidos por una empresa,
comercio, institución o cualquier otro ente.
Los controles de acceso también hacen posible llevar un registro automatizado de los movimientos
de un individuo o grupo dentro de un espacio determinado.
Los procedimientos deberían cubrir todas la etapas del ciclo de vida del acceso de los usuarios,
desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su
acceso a los sistemas y servicios de información.
Invierta en proporcionar al administrador de seguridad herramientas para realizar sus tareas lo más
eficientemente posible.
Tiempo medio transcurrido entre la solicitud y la realización de peticiones de cambio de accesos
y número de solicitudes de cambio de acceso cursadas en el mes anterior (con análisis de
tendencias y comentarios acerca de cualquier pico / valle (p. ej., "Implantada nueva aplicación
financiera este mes").
Los procedimientos deberían cubrir todas la etapas del ciclo de vida del acceso de los usuarios,
desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su
acceso a los sistemas y servicios de información.
Control de intrusos
xisten numerosas medidas de seguridad para proteger los recursos informáticos de una empresa,
pero aunque se sigan todas las recomendaciones de los expertos, no estaremos libres de posibles
ataques con éxito. Esto se debe a que conseguir un sistema virtualmente invulnerable es
sumamente costoso, además de que las medidas de control reducirían la productividad de la
empresa
Dentro de las soluciones tecnológicas que en la actualidad están disponibles para reforzar la
seguridad de una red, los firewalls son muy populares. Un firewall es un sistema encargado del
cumplimiento de las políticas de control de acceso a la red, lo cual se hace a través de reglas. Un
firewall actúa como guardia perimetral de una red: protege una red de ataques que provengan del
exterior de ésta. Pero el escenario se puede complicar de la siguiente forma:
La seguridad de la información es tarea de todos: del personal de la Empresa, de los Socios, de los
accionistas, de los clientes.