RESUMEN
Generalmente, la Seguridad Informática consiste en asegurar que los recursos del sistema de información (Software, hardware y datos) de una organización sean utilizados de la manera como se planeó. Hoy en día, los sistemas informáticos son herramientas muy útiles. Básicamente, en ellos, se registra y procesa la información de las empresas; pero son susceptibles de amenazas; por tal razón, la Auditoria Informática se encarga de evaluar si se están cumpliendo con las medidas de control para minimizar los riesgos que conlleva la utilización de sistemas informáticos.
Según las fuentes de amenazas, estos riesgos clasifican en Seguridad Lógica y Seguridad Física. El activo más importante de una organización es la información; por ello, es necesario contar con planes y políticas para protegerla.
INTRODUCCIÓN
Se puede entender como Seguridad una característica que cualquier sistema -informático o no- indica que un sistema está libre de riesgo, peligro o daño. Se entiende como Riesgo todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. La mayoría de los expertos en Seguridad indican que es utópico pensar que un sistema es seguro, porque no existe un sistema 100% de seguridad. Pero lo que se busca es minimizar esos riesgos.
Para que un sistema se pueda definir como seguro debe cumplir tres características: Integridad, Confidencialidad y Disponibilidad.
La Seguridad puede estudiarse dependiendo de las fuentes de las amenazas a los sistemas: la Seguridad Física y la Seguridad Lógica. La Seguridad Física trata de la protección de los sistemas ante amenazas físicas. Consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas, ante amenazas a los recursos e información confidenciales. Forman parte de este tipo de seguridad: Desastres naturales, Sabotajes internos o externos, etc. Por otro lado, la Seguridad Lógica protege la información dentro de su propio medio mediante el uso de herramientas de seguridad. Por lo tanto, la Seguridad Informática se puede definir como conjunto de operaciones y técnicas orientadas a la protección de la información contra la destrucción, la modificación, la divulgación indebida o el retraso en su obtención.
La presente investigación se efectuó para determinar la importancia de minimizar los riesgos relacionados con la Seguridad Informática. En principio, se describieron los conceptos más relevantes, para después mencionar los medios que tiene la Auditoría Informática para verificar la minimización de estos riesgos mediante la verificación de planes y políticas de seguridad para la protección de uno de los activos más importantes de la institución, la Información.
OBJETIVO GENERAL
Describir las medias básicas a considerar de la Seguridad Informática en las empresas.
OBJETIVOS ESPECÍFICOS
Recopilar conceptos relacionados a Seguridad
Recopilar conceptos relacionados a riesgos, amenazas y atentados a la Seguridad Informática
Determinar la importancia de la Información en las empresas
Identificar las medidas que pueden utilizarse para precautelar la Información en las empresas
MATERIALES Y MÉTODOS
Los métodos utilizados fueron el Método Analítico y Descriptivo.
DESARROLLO
Auditoria Informática
Se entiende por Auditoria Informática A una serie de exámenes periódicos o esporádicos de un sistema informático cuya finalidad es analizar y evaluar la planificación, el control, la eficacia, la seguridad, la economía y la adecuación de la infraestructura informática de la empresa.
Tipos de Auditoria Informática especializada:
Auditoria Informática de Producción o Explotación
Auditoria Informática de Desarrollo de Proyectos
Auditoria Informática de Sistemas
Auditoria Informática de Comunicación y Redes
Auditoria de Bases de Datos
Auditoria de Seguridad Informática
Auditoria Informática de aplicaciones en Internet
Auditoria de Seguridad Informática
Para realizar una evaluación de la Seguridad, es importante conocer cómo desarrollar y ejecutar la implantación de un Sistema de Seguridad.
Desarrollar un Sistema de Seguridad implica: planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa.
Las consideraciones de un Sistema Integral de Seguridad deben contemplar:
Definir elementos administrativos
Definir Políticas de Seguridad: A nivel departamental, a nivel institucional
Organizar y dividir las responsabilidades
Contemplar la Seguridad Física contra catástrofes (incendios, terremotos, inundaciones, etc.)
Definir prácticas de Seguridad para el personal: Plan de emergencia, Plan de evacuación, Uso de recursos de emergencia (extinguidores, etc.)
Definir el tipo de Pólizas de Seguros
Definir elementos técnicos de procedimientos: Técnicas de aseguramiento del sistema
Codificar la información: Criptografía
Contraseñas difíciles de averiguar (letras mayúsculas, minúsculas, números y símbolos ) que deben ser cambiadas periódicamente
Vigilancia de Red: Tecnologías repelentes o protectoras (Cortafuegos (firewalls), sistema de detección de intrusos, etc.)
Anti-spyware, antivirus, llaves para protección de software, etc.
Mantener los sistemas de información (sistemas operativos y programas) con las actualizaciones que más impacten en la Seguridad
Definir las necesidades de Sistemas de Seguridad para hardware y software
Flujo de energía
Cableados locales y externos
Aplicación de los Sistemas de Seguridad, incluyendo datos y archivos
Planificación de los papeles de los Auditores internos y externos
Planificación de programas de contingencia o recuperación de desastre y sus respectivas pruebas (Simulación)
Planificación de Pruebas al Plan de Contingencia con carácter periódico
Política de Destrucción de basura, copias, fotocopias, discos duros, etc.
Para dotar de medios necesarios al elaborar su Sistema de Seguridad, se debe considerar los siguientes puntos:
Sensibilizar a los ejecutivos de la organización en torno al tema de Seguridad
Se debe realizar un Diagnóstico de la situación de riesgo y Seguridad de la información en la organización a nivel software, hardware, recursos humanos y ambientales
Elaborar un Plan para un Programa de Seguridad
Etapas para implantar un Plan de Seguridad
Para que su Plan de Seguridad entre en vigor y los elementos empiecen a funcionar, se observen y acepten las nuevas políticas del nuevo Sistema de Seguridad, se deben seguir los siguientes pasos:
Introducir el tema de Seguridad en la visión de la empresa
Definir los procesos de Flujo de Información y sus Riesgos en cuanto a todos los recursos participantes
Capacitar a los Gerentes y Directivos, contemplando el enfoque global
Designar y capacitar a Supervisores de área
Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas
Mejorar las comunicaciones internas
Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel
Capacitar a todos los trabajadores en los elementos básicos de Seguridad y Riesgo para el manejo del software, hardware y con respecto a la Seguridad Física
Beneficios de un Sistema de Seguridad
Los beneficios de un Sistema de Seguridad bien elaborados son inmediatos, ya que la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos:
Aumento de la productividad
Compromiso con la misión de la compañía
Ayuda a formar equipos competentes
Mejora de los climas laborales para los Recursos Humanos
Disposiciones que acompañan la Seguridad
Desde el punto de vista de Seguridad, se debe contar con un conjunto de disposiciones o acción para llevarse a cabo en caso de presentarse situaciones de riesgo:
Obtener una especificación de todas las aplicaciones, los programas y archivos de datos
Medidas y Planes de Contingencia en caso de desastre como pérdida total de datos, abuso, etc.
Prioridades en cuanto a acciones de seguridad de corto y largo plazo
Verificar el tipo de acceso que tienen las diferentes personas de la organización, cuidar que los programadores no cuenten con acceso a la sección de Operación y viceversa
Que los operadores no sean los únicos en resolver los problemas que se presentan
Razones que impiden la aplicación de las Políticas de Seguridad Informática
A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de Seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito; la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas Políticas de Seguridad Informática.
Esta situación ha llevado a que muchas empresas con activos muy importantes se encuentren expuestas a problemas de seguridad y riesgos innecesarios los cuales, en muchos casos, comprometen información sensible y, por ende, la imagen corporativa.
Ante esta situación, los encargados de la Seguridad deben confirmar que las personas entienden los asuntos importantes de la Seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos. Si se quiere que las Políticas de Seguridad sean aceptadas deben integrarse a las estrategias del negocio, a su misión y visión, con el propósito de que quienes toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compañía.
Es importante señalar que las Políticas, por sí solas, no constituyen una garantía para la Seguridad de la organización. Ellas deben responder a intereses y necesidades organizacionales basadas en la visión de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos y a reconocer, en los mecanismos de Seguridad Informática, factores que facilitan la formalización y materialización de los compromisos adquiridos con la organización.
Puesta en marcha de una Política de Seguridad
Generalmente se ocupa exclusivamente de asegurar los derechos de acceso a los datos y los recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores tienen sólo los permisos que se les dio.
La Seguridad Informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el Sistema Informático con toda confianza. Por eso, en lo referente a elaborar una Política de Seguridad, conviene:
Elaborar reglas y procedimientos para cada servicio de la organización.
Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión.
Sensibilizar los operadores con los problemas ligados con la seguridad de los sistemas informáticos.
Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, quienes tienen que conseguir que los recursos y derechos de acceso sean coherentes con la Política de Seguridad definida.
Además, como el Administrador suele ser el único en conocer perfectamente el sistema, tiene que comunicar a la Directiva cualquier problema e información relevante sobre la seguridad y, eventualmente, aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la comunicación a los trabajadores sobre problemas y recomendaciones, en término de Seguridad.
Por todo lo descrito anteriormente, la Auditoria Informática tiene como una de sus especialidades la Auditoría de Seguridad la cual, periódicamente y/o eventualmente, tanto auditores (internos como externos) deben encargarse de realizar. Para analizar y evaluar la planificación, el control, la eficacia, la seguridad, la economía y la adecuación de la infraestructura Informática de la empresa, con el fin de identificar los riesgos, su impacto y comunicar a las instancias respectivas para tomar las acciones necesarias para minimizar los mismos y, de esta manera, proteger uno de los activos más importantes de estos tiempos: la Información.
