Monografias.com > Computación > General
Descargar Imprimir Comentar Ver trabajos relacionados

Seguridad en un sistema de Información




Enviado por alfredo_jimenez



    Importancia de la
    Información

    Cuando se habla de la función informática generalmente se tiende a hablar
    de tecnología nueva, de nuevas aplicaciones,
    nuevos dispositivos hardware, nuevas formas de
    elaborar información más consistente,
    etc.

    Sin embargo se suele pasar por alto o se tiene muy
    implícita la base que hace posible la existencia de
    los anteriores elementos. Esta base es la
    información.

    Es muy importante conocer su significado dentro la
    función informática, de forma esencial cuando su
    manejo esta basado en tecnología moderna,
    para esto se debe conocer que la información:

    • esta almacenada y procesada en
      computadoras
    • puede ser confidencial para algunas personas o
      a escala
      institucional
    • puede ser mal utilizada o
      divulgada
    • puede estar sujeta a robos, sabotaje o
      fraudes

    Los primeros puntos nos muestran que la información esta centralizada y que puede
    tener un alto valor y lo s
    últimos puntos nos muestran que se puede provocar la
    destrucción total o parcial de la información, que incurre directamente en su
    disponibilidad que puede causar retrasos de alto costo.

    Pensemos por un momento que hay se sufre un
    accidente en el centro de computo
    o el lugar donde se almacena la información. Ahora preguntémonos:
    ¿Cuánto tiempo
    pasaría para que la
    organización este nuevamente en
    operación?

    Es necesario tener presente que el lugar donde se
    centraliza la información con frecuencia el centro de
    cómputo puede ser el activo más valioso y al mismo
    tiempo el
    más vulnerable.

    Véase diapositiva 1 y véase
    diapositiva 2

    Para continuar es muy importante conocer el
    significado de dos palabras, que son riesgo y seguridad.

    Riesgo

    Proximidad o posibilidad de un daño,
    peligro, etc.

    Cada uno de los imprevistos, hechos
    desafortunados, etc., que puede cubrir un seguro.

    Sinónimos: amenaza, contingencia,
    emergencia, urgencia, apuro.

    Seguridad

    Cualidad o estado de
    seguro

    Garantía o conjunto de garantías
    que se da a alguien sobre el cumplimiento de
    algo.

    Ejemplo: Seguridad
    Social Conjunto de organismos, medios,
    medidas, etc., de la administración estatal para prevenir o
    remediar los posibles riesgos,
    problemas y
    necesidades de los trabajadores, como enfermedad, accidentes
    laborales, incapacidad, maternidad o jubilación; se
    financia con aportaciones del Estado,
    trabajadores y empresarios.

    Se dice también de todos aquellos
    objetos, dispositivos, medidas, etc., que contribuyen a hacer
    más seguro el
    funcionamiento o el uso de una cosa: cierre de seguridad,
    cinturón de seguridad.

    Con estos conceptos claros podemos avanzar y
    hablar la criminología ya ha calificado los "delitos hechos
    mediante computadora"o
    por "sistemas de
    información" en el grupo de
    delitos de cuello
    blanco.

    Crónica del crimen (o delitos en
    los sistemas de
    información)

    Delitos accidentales e
    incidentales

    Los delitos cometidos
    utilizando la computadora
    han crecido en tamaño, forma y variedad.

    En la actualidad (1994) los delitos cometidos
    tienen la peculiaridad de ser descubiertos en un 95% de forma
    casual. Podemos citar a los principales delitos hechos por
    computadora o
    por medio de computadoras
    estos son:

    • fraudes
    • falsificación
    • venta de información

    Entre los hechos criminales más famosos
    en los E.E.U.U. están:

    • El caso del Banco Wells
      Fargo donde se evidencio que la protección de archivos era
      inadecuada, cuyo error costo USD
      21.3 millones.
    • El caso de la NASA donde dos alemanes
      ingresaron en archivos
      confidenciales.
    • El caso de un muchacho de 15 años que
      entrando a la
      computadora de la Universidad
      de Berkeley en California destruyo gran cantidad de archivos.
    • También se menciona el caso de un
      estudiante de una escuela que
      ingreso a una red canadiense con un
      procedimiento
      de admirable sencillez, otorgándose una
      identificación como un usuario de alta prioridad, y tomo
      el control de
      una embotelladora de Canadá.
    • También el caso del empleado que
      vendió la lista de clientes de una
      compañía de venta de
      libros, lo
      que causo una perdida de USD 3 millones.

    Conclusión

    Estos hechos y otros nos muestran claramente que
    los componentes del sistema de
    información no presentaban un adecuado nivel de
    seguridad. Ya que
    el delito se
    cometió con y sin intención. Donde se logró
    penetrar en el sistema de
    información.

    Virus
    informático

    Definición: El virus
    informático es un programa
    elaborado accidental o intencionadamente, que se introduce y se
    transmite a través de diskettes o de la red telefónica de
    comunicación entre ordenadores, causando
    diversos tipos de daños a los sistemas
    computarizados. Ejemplo: el virus llamado
    viernes trece o Jerusalén, que desactivó el
    conjunto de ordenadores de la defensa de Israel y que
    actualmente se ha extendido a todo el mundo.

    Históricamente los virus
    informáticos fueron descubiertos por la prensa el 12 de
    octubre de 1985, con una publicación del New York Times
    que hablaba de un virus que fue se
    distribuyo desde un BBS y aparentemente era para optimizar los
    sistemas IBM
    basados en tarjeta gráfica EGA, pero al ejecutarlo
    salía la presentación pero al mismo tiempo borraba
    todos los archivos del
    disco duro,
    con un mensaje al finalizar que decía
    "Caíste".

    Bueno en realidad este fue el nacimiento de su
    nombre, ya que los programas con
    código integrado, diseñados para hacer cosas
    inesperadas han existido desde que existen las computadoras.
    Y ha sido siempre la obra de algún programador delgado de
    ojos de loco.

    Pero las primeras referencias de virus con fines
    intencionales surgieron en 1983 cuando Digital Equipament
    Corporation (DEC) empleo
    empleó una subrutina para proteger su famoso procesador de
    textos Decmate II, que el 1 de abril de 1983 en caso de ser
    copia ilegal borraba todos los archivos de su
    unidad de disco.

    Los principales casos de crímenes cometidos
    empleando por virus
    informáticos son:

    12 de diciembre de 1987. El virus de
    Navidad Una tarjeta navideña digital enviada por
    medio de un BBS de IBM atasco las instalaciones en los EE.UU. por
    90 minutos. Cuando se ejecutaba el virus este tomaba
    los Adress Book del usuario y se retransmitía
    automáticamente, ademas que luego colgaba el ordenador
    anfitrión.

    Esto causo un desbordamiento de datos en la
    red.

    10 de enero de 1988. El virus
    Jerusalén se ejecuta en una universidad
    hebrea y tiene como fecha límite el primer viernes 13 del
    año, como no pudieron pararlo se sufría una
    disminución de la velocidad cada
    viernes 13.

    20 de septiembre de 1988 en Fort Worth,
    Texas, Donald Gene un programador de 39 años será
    sometido a juicio el 11 de julio por cargos delictivos de que
    intencionadamente contaminó el sistema de por
    ser despedido, con un virus
    informático el año 85. Sera la primera persona juzgada
    con la ley de sabotaje
    que entro en vigor el 1 de septiembre de 1985. El juicio duro 3
    semanas y el programador fue declarado culpable y condenado a
    siete años de libertad
    condicional y a pagar USD. 12000.

    Su empresa que se
    dedicaba a la bolsa sufrió borro de datos,
    aproximadamente 168000 registros.

    4 de noviembre de 1988 Un virus invade
    miles de computadoras
    basadas en Unix en
    universidades e instalaciones de investigación militares, donde las
    velocidades fueron reducidas y en otros casos paradas.
    También el virus se propagó a escala
    internacional.

    Se estableció que la infección no
    fue realizada por un virus sino por un programa
    gusano, diseñado para reproducirse así mismo
    indefinidamente y no para eliminar datos. El
    programa se
    difundió a través de un corrector de errores para
    correo
    electrónico, que se movió principalmente en
    Internet
    (Arpanet) y contamino miles de computadoras
    en todo el mundo contando 6000 computadoras
    en centros militares en los EE.UU. , incluyendo la NASA, la
    Fuerza
    Aérea, el MIT, las universidades de Berkeley, Illinois,
    Boston, Stanford, Harvard, Princeton, Columbia y otras. En
    general se determino que la infección se propago en las
    computadoras VAX de DEC (digital equipament corp) y las
    fabricadas por Sun Microsystems, que empleaban Unix.

    Se halla al culpable Robert Morris, estudiante de
    23 años, que declara haber cometido un error al propagar
    el gusano. Morris era el hijo de un experto en seguridad
    informática del gobierno.

    El caso fue investigado por el FBI. Posiblemente
    se sentencie a Morris por 5 años de prisión y una
    multa USD. 250000.

    23 de marzo del 89 virus ataca sistemas
    informáticos de hospitales, variando la lectura de
    informes de
    laboratorio.

    Y los últimos pero recordados vaccina,
    hacker, cpw543,
    natas, antiexe, etc.

    Conclusión

    Estos casos y muchos otros nos muestran que al
    realizar la auditoría se debe estudiar con mucho
    cuidado lo que significan los virus. Y conocer los diferentes
    tipos como ser: caballo de troya, gusano, trampilla, bomba de
    tiempo,
    bomba lógica y los recientes macro
    virus.

    Pero como principal punto de partida se debe
    observar que el sistema:

    • No tenga copias ilegales o
      piratas
    • Que no exista la posibilidad de
      transmisión de virus al realizar conexiones remotas o de
      redes
    • El acceso de unidades de disco flexible sea
      restringido solo a quienes las necesitan

    Observación

    Es muy importante manejar con discreción
    los resultados que se obtengan de los aspectos de seguridad, pues
    su mala difusión podría causar daños
    mayores. Esta información no debe ser divulgada y se la
    debe mantener como reservada.

    Ambiente propicio para el cultivo del
    crimen

    En la actualidad se nota que los fraudes crecen en
    forma rápida, incluso mayor que los sistemas de
    seguridad. Se sabe que en los EE.UU. se cometen crímenes
    computarizados denunciados o no por más de 3 mil millones
    de dólares.)

    Es importante para el auditor conocer las causas
    para que se cometan delitos, ya que una vez encontrado el
    problema se debe observar la raíz para sugerir su
    solución, entre las causas podemos citar, dos grupos:

    Mayor riesgo

    • Beneficio personal
    • Síndrome de Robín
      Hood
    • Odio a la
      organización
    • Mentalidad turbada
    • Equivocación de ego
    • Deshonestidad del
      departamento
    • Problemas financieros de algún
      individuo
    • Fácil modo de
      desfalco

    Menor riesgo

    • Beneficio de la
      organización
    • Jugando a jugar

    Conclusión

    Al ingresar al área de seguridad se debe
    contemplar muy estrechamente las relaciones que hay entre los
    aspectos: tecnológicos, humano – sociales y
    administrativos.

    Paradigmas Organizacionales en Cuanto a
    Seguridad

    Paradigma: Modelo o
    ejemplo de algo, En filosofía: Conjunto de ideas
    filosóficas, teorías científicas y normas
    metodológicas que influyen en la forma de resolver los
    problemas en
    una determinada tradición científica.

    Sinónimo: prototipo, muestra,
    canon.

    Los paradigmas
    desempeñan un papel
    importante en la actual filosofía de la ciencia, a
    partir de la obra de Thomas S. Kuhn "La estructura de
    las revoluciones científicas" (1962).

    Del paradigma se
    desprenden las reglas que rigen las investigaciones.
    Cuando dentro de un paradigma
    aparecen anomalías excesivas, se produce una revolución
    científica que consiste precisamente en el cambio de
    paradigma

    Es muy importante que el auditor conozca los
    paradigmas que
    existen en las organizaciones
    sobre la seguridad, para no encontrarse con un contrincante
    desconocido.

    Entre los principales paradigmas que
    se pueden encontrar veamos los siguientes:

    • Generalmente se tiene la idea que los procedimientos
      de auditoría es responsabilidad del personal del
      centro de
      computo, pero se debe cambiar este paradigma y
      conocer que estas son responsabilidades del usuario y del
      departamento de auditoría
      interna.
    • También muchas compañías
      cuentan con dispositivos de seguridad física para los
      computadores y se tiene la idea que los sistemas no
      pueden ser violados si no se ingresa al centro al centro de
      computo, ya que no se considera el uso terminales y de
      sistemas remotos.
    • Se piensa también que los casos de
      seguridad que tratan de seguridad de incendio o robo que "eso
      no me puede suceder a mí" o "es poco probable que
      suceda".
    • También se cree que los computadores y
      los programas son
      tan complejos que nadie fuera de su organización los va a entender y no les
      van a servir, ignorando las personas que puedan captar y usarla
      para otros fines.
    • Los sistemas de seguridad generalmente no
      consideran la posibilidad de fraude
      interno que es cometido por el mismo personal en el
      desarrollo
      de sus funciones.
    • Generalmente se piensa que la seguridad por
      clave de acceso es inviolable pero no se considera a los
      delincuentes sofisticados.
    • Se suele suponer que los defectos y errores son
      inevitables.
    • También se cree que se hallan fallas
      porque nada es perfecto.
    • Y la creencia que la seguridad se aumenta solo
      con la inspección.

    El siguiente cuadro es una forma apta para llevar
    este tipo de información. Aunque no puede ser la mejor,
    pero permite distinguir las ideas que se pretender
    explicar.

     

    Viejo

    Equilibrio

    Nuevo

    desequilibrio

    Organización

    Operativo

    ..

     

     

    Conclusión

    Se deben analizar estos y otros paradigmas de
    la
    organización, también es muy importante que el
    auditor enfrente y evalúe primero sus propios paradigmas y
    sus paradigmas académicos.

    Consideraciones Inmediatas para la Auditoría de la
    Seguridad

    A continuación se citarán las
    consideraciones inmediatas que se deben tener para
    elaborar la evaluación
    de la seguridad, pero luego se tratarán las áreas
    específicas con mucho mayor detalle.

    Uso de la Computadora

    Se debe observar el uso adecuado de la computadora
    y su software que
    puede ser susceptible a:

    • tiempo de máquina para uso
      ajeno
    • copia de programas de
      la
      organización para fines de comercialización (copia
      pirata)
    • acceso directo o telefónico a bases de datos
      con fines fraudulentos

    Sistema de Acceso

    Para evitar los fraudes computarizados se debe
    contemplar de forma clara los accesos a las computadoras de
    acuerdo a:

    • nivel de seguridad de acceso
    • empleo de las claves de
      acceso
    • evaluar la seguridad contemplando la
      relación costo, ya
      que a mayor tecnología de acceso mayor
      costo

    Cantidad y Tipo de
    Información

    El tipo y la cantidad de información que se
    introduce en las computadoras debe considerarse como un factor de
    alto riesgo ya que
    podrían producir que:

    • la información este en manos de algunas
      personas
    • la alta dependencia en caso de perdida de
      datos

    Control de Programación

    Se debe tener conocer que el delito más
    común está presente en el momento de la programación, ya que puede ser cometido
    intencionalmente o no, para lo cual se debe controlar
    que:

    • los programas no
      contengan bombas
      lógicas
    • los programas deben
      contar con fuentes y
      sus ultimas actualizaciones
    • los programas deben contar con
      documentación técnica, operativa y de
      emergencia

    Personal

    Se debe observar este punto con mucho cuidado, ya
    que hablamos de las personas que están ligadas al sistema de
    información de forma directa y se deberá
    contemplar principalmente:

    • la dependencia del sistema a nivel
      operativo y técnico
    • evaluación del grado de capacitación operativa y
      técnica
    • contemplar la cantidad de personas con acceso
      operativo y administrativo
    • conocer la capacitación del personal en
      situaciones de emergencia

    Medios de Control

    Se debe contemplar la existencia de medios de
    control para
    conocer cuando se produce un cambio o un
    fraude en el
    sistema.

    También se debe observar con detalle el
    sistema ya que podría generar indicadores
    que pueden actuar como elementos de auditoría inmediata, aunque esta no sea una
    especificación del sistema.

    Rasgos del Personal

    Se debe ver muy cuidadosamente el carácter
    del personal
    relacionado con el sistema, ya que pueden
    surgir:

    • malos manejos de
      administración
    • malos manejos por
      negligencia
    • malos manejos por ataques
      deliberados

    Instalaciones

    Es muy importante no olvidar las instalaciones
    físicas y de servicios, que
    significan un alto grado de riesgo. Para lo
    cual se debe verificar:

    • la continuidad del flujo
      eléctrico
    • efectos del flujo eléctrico sobre el
      software y
      hardware
    • evaluar las conexiones con los sistemas
      eléctrico, telefónico, cable,
      etc.
    • verificar si existen un diseño, especificación
      técnica, manual o
      algún tipo de documentación sobre las
      instalaciones

    Control de
    Residuos

    Observar como se maneja la basura de los
    departamentos de mayor importancia, donde se almacena y quien la
    maneja.

    Establecer las Areas y Grados de
    Riesgo

    Es muy importante el crear una conciencia
    en los usuarios de la
    organización sobre el riesgo que
    corre la información y hacerles comprender que la
    seguridad es parte de su trabajo. Para esto se deben conocer
    los principales riesgos que
    acechan a la función informática y los medios de
    prevención que se deben tener, para lo cual se
    debe:

    Establecer el Costo del
    Sistema de Seguridad (Análisis Costo vs
    Beneficio)

    Este estudio se realiza considerando el costo
    que se presenta cuando se pierde la información vs el
    costo de un sistema de seguridad.

    Para realizar este estudio se debe considerar lo
    siguiente:

    • clasificar la instalación en
      términos de riesgo (alto,
      mediano, pequeño)
    • identificar las aplicaciones que tengan alto
      riesgo
    • cuantificar el impacto en el caso de
      suspensión del servicio
      aquellas aplicaciones con un alto riesgo
    • formular las medidas de seguridad necesarias
      dependiendo del nivel de seguridad que se
      requiera
    • la justificación del costo de implantar
      las medidas de seguridad

    Costo x perdida Costo
    del

    de información sistema de
    seguridad

    Cada uno de estos puntos es de mucha importancia
    por lo que se sugiere clasificar estos elementos en
    áreas de riesgo que pueden
    ser:

    Riesgo
    Computacional

    Se debe evaluar las aplicaciones y la
    dependencia del sistema de
    información, para lo cual es importante considerar
    responder las siguientes cuatro preguntas:

    1. ¿Qué sucedería si no
    se puede utilizar el sistema?
    Si el sistema depende de la
    aplicación por completo se debe definir el nivel de
    riesgo.

    Por ejemplo citemos:

    • Un sistema de reservación de boletos
      que dependa por completo de un sistema computarizado, es un
      sistema de alto riesgo.
    • Una lista de clientes
      será de menor riesgo.
    • Un sistema de contabilidad fuera del tiempo de
      balance será de mucho menor riesgo.

    2. ¿Qué consecuencias
    traería si es que no se pudiera acceder al sistema?

    Al considerar esta pregunta se debe cuidar la presencia de
    manuales de
    respaldo para emergencias o algún modo de cómo se
    soluciono este problema en el pasado.

    3. ¿Existe un procedimiento
    alternativo y que problemas
    ocasionaría?
    Se debe verificar si el sistema es
    único o es que existe otro sistema también
    computarizado de apoyo menor. Ejemplo: Sí el sistema
    principal esta diseñado para trabajar en red sea tipo WAN
    quizá haya un soporte de apoyo menor como una red LAN o
    monousuario. En el caso de un sistema de facturación en
    red, si esta
    cae, quizá pudiese trabajar en forma distribuida con un
    módulo menor monousuario y que tenga la capacidad de que
    al levantarse la red existan métodos
    de actualización y verificación
    automática.

    4. ¿Qué se ha hecho en casos de
    emergencia hasta ahora?
    Para responder esta pregunta se
    debe considerar al menos las siguientes situaciones, donde se
    debe rescatar los acontecimientos, las consecuencias y las
    soluciones
    tomadas, considerando:

    • Que exista un sistema paralelo al menos
      manual
    • Si hay sistemas duplicados en las
      áreas críticas (tarjetas de
      red, teclados, monitores,
      servidores,
      unidades de disco, aire
      acondicionado).
    • Si hay sistemas de energía
      ininterrumpida UPS.
    • Si las instalaciones eléctricas,
      telefónicas y de red son adecuadas (se debe contar con
      el criterio de un experto).
    • Si se cuenta con un método de respaldo y su manual
      administrativo.

    Conclusión

    Cuando se ha definido el grado de riesgo se debe
    elaborar una lista de los sistemas con las medidas preventivas
    que se deben tomar y las correctivas en casi de desastre,
    señalando la prioridad de cada uno. Con el objetivo que
    en caso de desastres se trabajen los sistemas de acuerdo a sus
    prioridades.

    Consideración y
    Cuantificación del Riesgo a Nivel Institucional
    (importante)

    Ahora que se han establecido los riesgos
    dentro la
    organización, se debe evaluar su impacto a nivel
    institucional, para lo cual se debe:

    • Clasificar la información y los
      programas de soporte en cuanto a su disponibilidad y
      recuperación.
    • Identificar la información que tenga un
      alto costo financiero en caso de perdida o pueda tener impacto
      a nivel ejecutivo o gerencial.
    • Determinar la información que tenga un
      papel de
      prioridad en la organización a tal punto que no pueda
      sobrevivir sin ella.

    Una vez determinada esta información se
    la debe CUANTIFICAR, para lo cual se debe efectuar entrevistas con los altos niveles
    administrativos que sean afectados por la suspensión
    en el procesamiento y que cuantifiquen el impacto que
    podrían causar estas situaciones.

    Disposiciones que Acompañan la
    Seguridad

    De acuerdo a experiencias pasadas, y a la mejor
    conveniencia de la organización, desde el punto de vista de
    seguridad, contar con un conjunto de disposiciones o cursos de
    acción para llevarse a cabo en caso de presentarse
    situaciones de riesgo. Para lo cual se debe
    considerar:

    • Obtener una especificación de las
      aplicaciones, los programas y archivos de datos.
    • Medidas en caso de desastre como perdida total
      de datos, abuso y
      los planes necesarios para cada caso.
    • Prioridades en cuanto a acciones de
      seguridad de corto y largo plazo.
    • Verificar el tipo de acceso que tiene las
      diferentes personas de la organización, cuidar que los
      programadores no cuenten con acceso a la sección de
      operación ni viceversa.
    • Que los operadores no sean los únicos en
      resolver los problemas
      que se presentan.

    Higiene

    Otro aspecto que parece de menor importancia es
    el de orden e higiene, que
    debe observarse con mucho cuidado en las áreas
    involucradas de la organización (centro de
    computo y demás dependencias), pues esto
    ayudará a detectar problemas de
    disciplina y
    posibles fallas en la seguridad.

    También podemos ver que la higiene y el
    orden son factores que elevan la moral del
    recurso humano, evita la acumulación de desperdicios y
    limita las posibilidades de accidentes.
    (ejm del rastrillo)

    Ademas es un factor que puede perjudicar el
    desarrollo
    del trabajo tanto a nivel formal como
    informal.

    Cultura Personal

    Cuando hablamos de información, su riesgo
    y su seguridad, siempre se debe considerar al elemento humano,
    ya que podría definir la existencia o no de los
    más altos grados de riesgo. Por lo cual es muy
    importante considerar la idiosincrasia del personal, al
    menos de los cargos de mayor dependencia o
    riesgo.

    Conclusión

    El fin de este punto es encontrar y evitar
    posibles situaciones de roce entre el recurso humano y la
    organización y lograr una mejor comunicación entre
    ambos.

    Consideraciones para Elaborar
    un

    Sistema de Seguridad
    Integral

    Como hablamos de realizar la evaluación
    de la seguridad es importante también conocer como
    desarrollar y ejecutar el implantar un sistema de
    seguridad.

    Desarrollar un sistema de seguridad significa:
    "planear, organizar coordinar dirigir y controlar las actividades
    relacionadas a mantener y garantizar la integridad física de los
    recursos
    implicados en la función informática, así como el resguardo
    de los activos de
    la
    empresa."

    Por lo cual podemos ver las consideraciones de un
    sistema de integral de seguridad.

    Sistema Integral de
    Seguridad

    Un sistema integral debe
    contemplar:

    • Definir elementos
      administrativos
    • Definir políticas de seguridad
    • A nivel departamental
    • A nivel institucional
    • Organizar y dividir las
      responsabilidades
    • Contemplar la seguridad física contra
      catástrofes (incendios,
      terremotos,
      inundaciones, etc.)
    • Definir prácticas de seguridad para el
      personal:
    • Plan de emergencia (plan de
      evacuación, uso de recursos de
      emergencia como extinguidores.
    • Números telefónicos de
      emergencia
    • Definir el tipo de pólizas de
      seguros
    • Definir elementos técnicos de
      procedimientos
    • Definir las necesidades de sistemas de
      seguridad para:
    • Hardware y software
    • Flujo de energía
    • Cableados locales y externos
    • Aplicación de los sistemas de seguridad
      incluyendo datos y archivos
    • Planificación de los papeles de los
      auditores internos y externos
    • Planificación de programas de desastre y
      sus pruebas
      (simulación)
    • Planificación de equipos de contingencia
      con carácter periódico
    • Control de desechos de los nodos importantes
      del sistema:
    • Política de destrucción de
      basura
      copias, fotocopias, etc.
    • Consideración de las normas ISO
      14000

    Etapas para Implementar un Sistema de
    Seguridad

    Para dotar de medios
    necesarios para elaborar su sistema de seguridad se debe
    considerar los siguientes puntos:

    • Sensibilizar a los ejecutivos de la
      organización en torno al tema
      de seguridad.
    • Se debe realizar un diagnóstico de la situación de
      riesgo y seguridad de la información en la
      organización a nivel software,
      hardware,
      recursos
      humanos, y ambientales.
    • Elaborar un plan para un
      programa de
      seguridad. El plan debe
      elaborarse contemplando:

    Plan de Seguridad Ideal (o
    Normativo)

    Un plan de seguridad
    para un sistema de seguridad integral debe
    contemplar:

    • El plan de
      seguridad debe asegurar la integridad y exactitud de los
      datos
    • Debe permitir identificar la información
      que es confidencial
    • Debe contemplar áreas de uso
      exclusivo
    • Debe proteger y conservar los activos de
      desastres provocados por la mano del hombre y los
      actos abiertamente hostiles
    • Debe asegurar la capacidad de la
      organización para sobrevivir
      accidentes
    • Debe proteger a los empleados contra
      tentaciones o sospechas innecesarias
    • Debe contemplar la administración contra acusaciones por
      imprudencia

    Un punto de partida será conocer como
    será la seguridad, de acuerdo a la siguiente
    ecuación.

    Riesgo

    SEGURIDAD =
    ———————————————

    Medidas preventivas y
    correctivas

    Donde:

    Riesgo (roles, fraudes, accidentes,
    terremotos,
    incendios,
    etc)

    Medidas pre.. (políticas,
    sistemas de seguridad, planes de emergencia, plan de resguardo,
    seguridad de personal, etc)

    Consideraciones para con el
    Personal

    Es de gran importancia la elaboración del
    plan considerando el personal, pues se debe llevar a una conciencia para
    obtener una autoevaluación de su comportamiento
    con respecto al sistema, que lleve a la persona
    a:

    • Asumir riesgos
    • Cumplir promesas
    • Innovar

    Para apoyar estos objetivos se
    debe cumplir los siguientes pasos:

    Motivar

    Se debe desarrollar métodos
    de participación reflexionando sobre lo que significa la
    seguridad y el riesgo, así como su impacto a nivel
    empresarial, de cargo y individual.

    Capacitación
    General

    En un principio a los ejecutivos con el fin de
    que conozcan y entiendan la relación entre seguridad,
    riesgo y la información, y su impacto en la empresa. El
    objetivo de
    este punto es que se podrán detectar las debilidades y
    potencialidades de la organización frente al
    riesgo.

    Este proceso
    incluye como práctica necesaria la implantación
    la ejecución de planes de contingencia y la simulación de posibles
    delitos.

    Capacitación de
    Técnicos

    Se debe formar técnicos encargados de
    mantener la seguridad como parte de su trabajo y que
    esté capacitado para capacitar a otras personas en lo
    que es la ejecución de medidas preventivas y
    correctivas.

    Ética y
    Cultura

    Se debe establecer un método
    de educación estimulando el cultivo de
    elevados principios morales, que tengan
    repercusión a nivel personal e
    institucional.

    De ser posible realizar conferencias
    periódicas sobre: doctrina, familia,
    educación
    sexual, relaciones
    humanas, etc.

    Etapas para Implantar un Sistema de
    Seguridad en Marcha

    Para hacer que el plan entre en vigor y los
    elementos empiecen a funcionar y se observen y acepten las nuevas
    instituciones,
    leyes y
    costumbres del nuevo sistema de seguridad se deben seguir los
    siguiente 8 pasos:

    1. Introducir el tema de seguridad en la
      visión de la
      empresa.
    2. Definir los procesos de
      flujo de información y sus riesgos en
      cuanto a todos los recursos
      participantes.
    3. Capacitar a los gerentes y directivos,
      contemplando el enfoque global.
    4. Designar y capacitar supervisores de
      área.
    5. Definir y trabajar sobre todo las áreas
      donde se pueden lograr mejoras relativamente
      rápidas.
    6. Mejorar las comunicaciones internas.
    7. Identificar claramente las áreas de
      mayor riesgo corporativo y trabajar con ellas planteando
      soluciones
      de alto nivel.
    8. Capacitar a todos los trabajadores en los
      elementos básicos de seguridad y riesgo para el manejo
      del software,
      hardware y con
      respecto a la seguridad física.

    Beneficios de un Sistema de
    Seguridad

    Los beneficios de un sistema de seguridad bien
    elaborado son inmediatos, ya que el la organización
    trabajará sobre una plataforma confiable, que se refleja
    en los siguientes puntos:

    • Aumento de la productividad.
    • Aumento de la
      motivación del personal.
    • Compromiso con la misión
      de la compañía.
    • Mejora de las relaciones
      laborales.
    • Ayuda a formar equipos
      competentes.
    • Mejora de los climas laborales para los
      RR.HH.

     

    Elaborado por Jose Alfredo
    Jimenez

    Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

    Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

    Categorias
    Newsletter