Seguridad Informática en las Organizaciones

Seguridad Informática en las Organizaciones

.

Introducción.

El presente documento tiene como objetivo presentar las razones por las cuales la seguridad informática tiene una importancia en las organizaciones modernas y una guía práctica para el desarrollo de un modelo de seguridad que garantice los objetivos trazados por la administración de la organización.

El objetivo es permitir establecer un mecanismo para iniciar y/o continuar un plan de desarrollo de la seguridad informática basados en una guía práctica que garantice proteger los computadores y la información que se procesa, de las vulnerabilidades de un amplio rango de amenazas. El artículo no se detiene a plantear mecanismos de seguridad, se enfoca en la forma para llegar a determinar las necesidades de seguridad informática planteando una guía que muestra en una forma ordenada como construir un modelo de seguridad que integre los diferentes niveles en el procesamiento de los datos.

La guía que se presenta conduce hacia el desarrollo de un modelo de seguridad informática basado en las políticas de seguridad de la organización, las cuales determinan los procedimientos, los estándares y las herramientas que ayudarán en estas labores.

Al final del artículo se encuentra una corta bibliografía que enmarca diferentes temas de seguridad y que son una base importante para arrancar a construir el modelo de seguridad.

Seguridad Informática.

Seguridad y como sobrevivir son instintos básicos y las organizaciones no escapan de este principio. Las organizaciones están acostumbradas a manejar la seguridad física como parte fundamental de la operación del negocio. Cerraduras, celadores, perros, etc., son practicas muy comunes en nuestros días para la protección de la infraestructura física.

No existe un nivel completamente seguro que garantice proteger todos los riesgos a los cuales se puede ver afectado un negocio. Los problemas de seguridad casi siempre están asociados al error humano por ignorancia u omisión. Por otro lado el enemigo regularmente está dentro de la organización. En la mayoría de los casos de fraudes informáticos, estos se realizan con apoyo interno. En muchos casos las organizaciones desarrollan costosos mecanismos para aislarse y protegerse de ataques externos y se olvidan de la amenaza interna.

Alcanzar un equilibrio entre los controles y la funcionalidad es clave para mantener la competitividad del negocio. La seguridad informática no debe ser vista como solo un problema técnico, para cualquier organización de hoy en día la información es un activo de los mas preciados y la operación se basa principalmente en sus facilidades computacionales y en servicios informáticos hacia sus clientes. Por esto la informática es el corazón de la organización y la seguridad informática esta dirigida a garantizar los principios fundamentales tales como:

• Confidencialidad y propiedad. Protege la información de una intercepción o de conocimiento no autorizado lo que produce sentido de propiedad.

• Disponibilidad y utilidad. Permite que la información y los servicios vitales estén disponibles en el momento que se requiere y que sean útiles para el efecto requerido.

• Integridad y autenticidad. Garantiza la precisión y completitud de la información. Previene la modificación de datos o software de una forma no autorizada, esto garantiza la autenticidad de la información que se manipula y los medios que lo hacen.

• Acceso y control. Garantiza quien tiene oportunidad de tener acceso a la información o a un sistema. Administrativamente se debe tener la capacidad de limitar quien puede entrar a un sistema, desde donde, en que horarios, que recursos utilizar, que datos transferir. Esto permite tener el control del sistema.

• Principio de no repudiación y auditoria. Establece la certeza de que la operación ha sido realizada por un operador válido. El sistema debe mantener evidencias del uso, comportamiento y contenido de las actividades de cada usuario.

De acuerdo al tamaño de una organización estos principios fundamentales tienen características complejas para el negocio. Claramente dependiendo del tipo de información y servicios que se manejen, se requiere una mayor complejidad al manejar estos principios.

Teniendo en mente estos principios se deben determinar los dominios sobre los cuales se va a aplicar una identificación de los riesgos involucrados, identificar la perdida potencial y decidir cual es el nivel de protección requerida. Las soluciones pueden ser simples o complejas y dependen del nivel en que se ve comprometida la organización en su operación ante una falla que afecte estos principios.

De donde surge la necesidad de la seguridad informática? Los cambios que se han dado en la tecnología han afectado los negocios en aspectos como:

• Incremento del uso de tecnología. La tecnología ofrece una oportunidad de brindar mejores servicios a los clientes y la mayoría de las organizaciones modernas la utilizan exhaustivamente.

• Sistemas más complejos. Cada vez la interconexión de equipos y aplicativos hacen más complejo la operación global. La computación se ha venido desarrollando de los grandes Mainframes con sistemas propietarios hacia sistemas abiertos en donde es imposible aislar un equipo de muchos otros.

• Sistemas abiertos. Las redes permiten un sin fin de oportunidades de comunicaciones que mueven las fronteras de las organizaciones e integran proveedores, clientes y socios de negocios. Internet es una oportunidad en la cual muchas veces no sabemos por donde fluye la información.

• Capacidad de computo. Los equipo de escritorio hoy en día tienen una capacidad de computo similar a un mainframe de hace unos pocos años. La seguridad antes se basaba en aislar el centro de computo del mundo exterior. Hoy en día en un computador portátil puede estar el conocimiento y razón de ser competitivo de un negocio.

• Crimen computarizado. El incremento del uso de la tecnología se da en todos los campos. Los problemas no son solo virus y piratería de software.

• Competencia. El mercado hace que los secretos de los productos deban estar debidamente asegurados. La seguridad no solo es para el sector financiero.

• Imagen. Una falla en los servicios informáticos conlleva una pérdida de imagen que tardará mucho tiempo en ser recuperada. Uno siempre recuerda las fallas, los éxitos difícilmente son

...