Politicas De Acceso

Mecanismos de seguridad establecida para evitar el acceso a la información a personas no autorizadas

Las cualidades que conforman la seguridad de los activos de información de una organización o empresa son la confidencialidad, la integridad y la disponibilidad.

La confidencialidad tiene relación con la protección de información frente a posibles accesos no autorizados, con independencia del lugar en que reside la información o la forma en que se almacena.

La información sensible o valiosa que organización custodia o maneja, necesita ser protegida mediante estrictas medidas de control. La verificación y la autorización son dos mecanismos que se emplean para asegurar la confidencialidad de la información.

La integridad se refiere a la protección de información, datos, sistemas y otros activos informáticos contra cambios o alteraciones en su estructura o contenido ya sean intencionados, no autorizados o casuales.

También es importante proteger los procesos o programas que se emplean para manipular los datos. La información se debe preservar y poner a disposición de sus propietarios y de los usuarios autorizados de una forma precisa, completa y oportuna.

La disponibilidad es la garantía de que los usuarios autorizados puedan acceder a la información y recursos cuando los necesiten. La falta de disponibilidad se manifiesta principalmente de dos formas:

• La denegación, o repudio, del servicio debido a la falta de garantías de la prestación del mismo, tanto por parte del prestador del servicio como del solicitante o tomador (controles de identificación fehaciente, falta de prestaciones de los equipos, congestión de líneas, etc.).

• La pérdida de servicios de los recursos de información por causa de catástrofes naturales o por fallos de equipos, averías, acción de virus, etc.

Controles de seguridad

Un entorno operativo seguro exige la garantía de que sólo puedan acceder a una determinada información aquellos que están autorizados para ello, que la información se procese correctamente y que está disponible cuando se necesita.

Para aplicar controles adecuados, es preciso comprender primero quién o qué es lo que amenaza dicho entorno, así como conocer los riesgos asociados a dichas amenazas si llegan a materializarse.

Amenazas

La información se ve sometida a distintas amenazas que pueden clasificarse en intencionadas, no intencionadas y naturales.

Las amenazas intencionadas las ejercen usuarios no autorizados que acceden de forma indebida a los datos o información sensible. Los usuarios no autorizados pueden ser externos o pertenecientes a la propia organización y se pueden clasificar como curiosos o maliciosos. Los curiosos normalmente ojean un poco y no siempre entran con unas pretensiones concretas, ni saben lo que van a encontrar. Los maliciosos entran a los sistemas para apropiarse de datos o información por intereses económicos, o bien con ánimo de dañar o destruir recursos. El acceso no autorizado de usuarios ya sean curiosos o maliciosos significa siempre una violación de la confidencialidad y con frecuencia acarrea violaciones de la integridad y de la disponibilidad.

Las amenazas no intencionadas provienen típicamente de empleados con poca formación o negligentes que no han seguido los pasos para proteger sus contraseñas, asegurar adecuadamente sus ordenadores o actualizar con la frecuencia debida el programa antivirus. Las amenazas no intencionadas también implican a veces a los programadores o personal de proceso de datos cuando no se siguen las normas y procedimientos de seguridad establecidos, cuando existen. Este entorno operativo es especialmente sensible ya que sencillos errores en un programa pueden afectar a la integridad de la aplicación global y de cualquier otra aplicación con la que comparta información en común.

Las amenazas naturales incluyen fallos de equipos y calamidades tales como incendios, inundaciones y terremotos que pueden causar la pérdida de equipos y datos. Las amenazas naturales suelen afectar a la disponibilidad de los recursos y de la información.

Riesgos

Los riesgos asociados a la pérdida de la confidencialidad, integridad o disponibilidad son de diverso tipo y casi siempre implican daños económicos incluyendo responsabilidad contractual, falsos datos financieros, mayores costes, pérdidas de activos, pérdida de negocios, descrédito y pérdida de imagen pública.

Salvaguardas

Estudios realizados en los últimos años demuestran que un alto porcentaje de organizaciones han experimentado algún tipo de pérdida de información o soporte físico, siendo las causas más frecuentes los errores no intencionados y los virus. Hoy en día, debiera ser impensable tener PC's o servidores sin programas de protección contra virus. El aumento en el número de delitos informáticos está haciendo replantearse a los profesionales de las tecnologías de la información las medidas de seguridad y mecanismos de control. Los delitos informáticos se han convertido en un mayor riesgo debido por una parte a que hay un mayor número de personas que conocen la informática y tienen acceso a recursos informáticos, y por otra al alto nivel de interconexiones entre redes tanto internas como externas. Pero sigue ocurriendo que la mayoría de los incidentes se originan interiormente a la organización, tanto los no intencionados como los maliciosos.

Las salvaguardas no son uniformes para todos los sistemas. El nivel del riesgo debiera determinar el nivel de control adecuado. Cada riesgo se puede tratar mediante la aplicación de uno o varias salvaguardas de seguridad. Las salvaguardas se pueden clasificar en tres principales categorías:

• administrativas

• físicas

• técnicas

Riesgos de la organización

RIESGOS INFORMATICOS

Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control que puedan evaluar el desempeño del entorno informático.

Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos informáticos, esta información sirve de apoyo para una adecuada gestión de la administración de riesgos.

4.1 ¿QUE SON LOS RIESGOS?

El riesgo es una condición del mundo real, en el cual hay una exposición a la adversidad conformada por una combinación de circunstancias del entorno donde hay posibilidad de pérdidas. Los riesgos informáticos son exposiciones tales como atentados y amenazas a los sistemas de información.

“La probabilidad de que una amenaza se materialice, utilizando la vulnerabilidad existentes de un activo o grupos de activos, generándoles pérdidas o daños”. Fuente: Organización Internacional por la Normalización (ISO).

• ELEMENTOS A TENER EN CUENTA PARA LA CORRECTA DEFINICIÓN DE RIESGOS

• ADMINISTRACION DE RIESGOS

• VALORACIÓN DE RIESGOS

METODO A (Scoring): SISTEMA DE CALIFICACIONES: Prioriza las revisiones con base en una evaluación de los factores de riesgo que consideran variables como: Complejidad técnica, extensión del sistema, el cambio en el proceso y la materialización. Estas variables pueden estar ponderadas.

METODO B: Con base en juicios: Se toma decisión independiente con base en :

• Directivas del máximo nivel ejecutivo

• Perspectivas históricas

• Ambiente del negocio.

• SISTEMA DE CALIFICACIONES

Priorización de las revisiones con base en una evaluación de factores de riesgo que tienen en cuenta variables (ponderadas o no) como: complejidad técnica, la extensión del sistema, el cambio en el proceso y la materialización.

Estas revisiones se programan de acuerdo con el plan de auditoría anual de auditoría de sistemas.

4.2 TIPOS DE RIESGOS

1. RIESGOS DE INTEGRIDAD

• Interface del usuario

• Procesamiento

• Procesamiento de errores

• Interface

• Administración de cambios

• Información

2. RIESGOS DE RELACION

Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones.

3. RIESGOS DE ACCESO

• Procesos de negocio

• Aplicación

• Administración de la información

• Entorno de procesamiento

• Redes

• Nivel físico

4. RIESGOS DE UTILIDAD

• Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran.

• Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.

• Backups y planes de contingencia controlan desastres en el procesamiento de la información.

5. RIESGOS EN LA INFRAESTRUCTURA

• Planeación organizacional

• Definición de las aplicaciones

• Administración de seguridad

• Operaciones

...