Beruflich Dokumente
Kultur Dokumente
Capítulo 6
Seguridad Informática
En informática seguridad es: “La protección de la información
sobre accesos no autorizados, modificaciones y/o algún tipo de
destrucción ya sean estos accidentales ó intencionales”.
Sin embargo es imposible hablar de sistemas ciento por ciento
seguros sencillamente porque el costo de la seguridad total es
muy alto.
INTRODUCCIÓN
A partir de los años ochentas el uso de las PC’s comienza a ser común y la
preocupación por la integridad de los datos empieza a tomar fuerza. En la década de
los noventas proliferan los ataques a sistemas informáticos, aparecen los virus y se
toma conciencia del peligro que nos acecha como usuarios de PC’s y equipos
conectados a Internet.
Dado los recursos con que se cuentan en informática, existe el riesgo de que
pueda ocurrir alguna contingencia que impida el logro de los objetivos de las áreas de
cómputo, lo anterior justifica la implementación de un programa integral de seguridad
para todas las áreas que cuenten con equipos de cómputo y para la misma red. Por lo
que en este capítulo se incluyen temas acerca de la seguridad informática, se revisan
los diferentes tipos de seguridad y las áreas de control crítico, por último se propone
una metodología de seguridad.
6.1 GENERALIDADES
35
Área vulnerable “son características que tiene el medio ambiente al permitir una amenaza, la cual, actúa sobre el
bien causándole un daño”.
36
Reconoceremos a los Recursos Informáticos como aquellos necesarios para la operación del Centro de Cómputo,
llámense personal, hardware, software, mobiliario, insumos, instalaciones, equipo auxiliar, etc.
Se debe identificar las áreas que han comprobado ser las más críticas para el
control de la información de los sistemas y equipos, es mucho más efectivo asignar
recursos al manejo y protección de las áreas identificadas como vulnerables, que el
estar haciendo constantes revisiones, análisis de riesgos o diseño de distintos métodos.
Escamilla, TJ. (1996), enumera ciertos factores críticos que necesitan atención
en relación con los sistemas de cómputo, estos factores han sido el origen de muchos
problemas de información en la actualidad, inclusive han sido la clave para mejorar el
control de las aplicaciones. A continuación los factores críticos mencionados:
Cappuccio, V. (2002), afirma que los quince puntos anteriores han probado ser
algunos de los factores más críticos y problemáticos con respecto a la seguridad y
control en áreas de informática. Ahora con respecto a las políticas de seguridad para
redes, se debe considerar lo siguiente:
Modificaciones en la red.
Cuentas de los usuarios.
Privilegios de acceso.
Contraseñas y el control de acceso.
Prevención de ataques.
Registro y monitoreo.
Ubicación física.
Cuentas de los usuarios.- Cuando un usuario reciba una nueva cuenta, debe
firmar un documento donde declara conocer las políticas y procedimientos de
seguridad y que acepta sus responsabilidades con relación al uso de esa cuenta. La
petición de una nueva cuenta o el cambio de privilegios deben ser solicitados por
escrito y debe ser debidamente aprobada. Toda cuenta debe quedar automáticamente
suspendida después de un cierto periodo de inactividad. El periodo recomendado es de
30 días.
contra daños y robos. Debe restringirse severamente el acceso a estos locales y a los
cuartos de cableado a personas no autorizadas mediante el uso de cerraduras y otros
sistemas de acceso (por ejemplo, tarjetas de proximidad).
Escamilla, TJ. (1996), enumera la secuencia lógica que se debe seguir para
identificar, analizar las áreas y los procesos involucrados a fin de determinar y así
controlar el riesgo a los activos informáticos:
Buck Edward R. (s/fecha), define a la amenaza como “un aspecto del medio
ambiente que -cuando se da una oportunidad- podría causar daño a un bien
informático o a un proceso". También Buck Edward R. propone que la manera de
identificar estas posibles amenazas es mediante un “análisis que identifique las causas
que puedan causar daño y amenace la misión de la organización”.
En este análisis se irá haciendo una lista que incluya todas las cosas indeseables
que pudieran ocurrirle a la información, ciertamente prevalece la incertidumbre de sí
estaremos ya incluyendo todas las posibles amenazas contra la información y aún más,
dentro de las que hemos identificado, ¿Se encuentran las más críticas? Por lo tanto,
todo lo indeseable que pueda ocurrirle a la información que se encuentra residente en
el departamento de informática puede ser agrupado dentro de los seis siguientes
puntos:
37
Un estudio multimillonario realizado en Estados Unidos, conocido como el proyecto "SAFE" sugiere estos ocho
pasos básicos.
sistema que se va a utilizar, incluye cualquier método o manera por el cual sea
concebida.
Pc2: Entrada de la información (etapa usuario–captura). Incluye todos los
movimientos manuales de documentación fuente del PC1 hacia el área donde
serán procesados.
Pc3: Codificación de la información (etapa input). Controla la conversión de la
información física en códigos preestablecidos capaces de ser admitidos por la
computadora, estas conversiones incluyen la validación y transmisión de los
datos dependiendo del tipo de procesamiento.
Pc4: Procesamiento de la información. (etapa proceso). Incluye la ejecución de
los programas de aplicación para la obtención de los procesos y por ende los
cálculos o salidas esperadas, este es el único punto en el que generalmente se
busca mantener el control, sin embargo cualquier carencia de controles
adecuados en alguno de los puntos anteriores atentará en algún grado la
integridad de la información en esta etapa.
Pc5: Uso de la información. (etapa output). Este punto contempla el control del
uso que se le da a la información durante los procesos, además su posible
retención y confidencialidad. Es común que pueda encontrarse en forma o
estado de fácil recuperación (respaldos o copias), es aquí donde debe darse
énfasis al control de su disponibilidad y uso.
Pc6: Disposición de la información. (etapa usuario–cliente). La información una
vez que ha sido utilizada, involucra los medios y lugares de almacenamiento,
tiempo de vigencia y seguridad. Este control se da una vez que la información es
retirada del dominio del usuario, debe ser inmediatamente retirada,
respaldada, destruida o inhabilitada.
38
Una forma muy útil de llevar a cabo este control es a través de la implementación de bitácoras de control por
sistema o proceso de trabajo.
permitir la clasificación por prioridades de los problemas y servir como base para un
análisis de costo / eficiencia.
El análisis de riesgos puede ser considerado como una guía para el jefe de
informática en las diferentes organizaciones donde se procesa la información en forma
computarizada o para el responsable de la seguridad, por lo mismo, debe tenerse en
cuenta que el tiempo más adecuado para llevar a cabo este estudio es antes de hacer
cualquier consideración en la selección de las técnicas de control.
La probabilidad (P) 39 está dada en las veces que se estima podría ocurrir el
daño en un rango de tiempo. Un modo para conocer el valor del costo (C) es
determinar cual es el tipo de costo que se relaciona más con el daño, por ejemplo: El
costo físico del recurso, el costo de la reparación del recurso, el costo de reemplazar
el recurso, el costo de recuperación / reproceso del recurso, el costo por seguros,
etcétera.
39
La probabilidad de que ocurra un evento se puede calcular a través de leyes probabilísticas que nos proporcionan
el porcentaje de posibilidad de que ocurra un evento con un alto grado de certeza.
El costo que se asignan a los recursos que podrían ser dañados deberá ser
obtenido por el consenso de un grupo de expertos40, consiste básicamente en asignar
valores subjetivos y preferentemente múltiplos de diez. Para Meredith, J. & Gibbs, T.
(1999), el costo / pérdida es un pronóstico que se realiza y que puede ser: Cualitativo
o Cuantitativo.
40
Es muy común que en los centros informáticos exista un comité de sistemas o un grupo de control de calidad que
integra a todos los jefes de áreas y al personal más experimentado en Informática.
41
A este método se le conoce como DELPHI ó DELFOS
42
Nótese la palabra “limitar”, un riesgo no podría desaparecer a no ser que desparezca el evento.
acción puede ser el permitir el acceso, impedir el acceso, monitorear al acceso y aun
el tomar alguna medida correctiva contra dicho intento de acceder al sistema.
Una clasificación de los controles tiene que ver con su propósito y éstos pueden
ser; para prevenir las causas del problema, para detectar las causas del problema o
para corregir las causas que propician el problema. Todas las áreas de sistemas en el
que pueden ser aplicados distintos controles encajan dentro de alguno de los tipos
anteriores, la combinación de estos controles permitirá mantener los sistemas seguros.
Para tomar una decisión final se hace necesario analizar los resultados del
método, sentido común y razonamiento son ingredientes indispensables que tienen
que ser aplicados para la decisión final.
Plan de respaldos
Plan de registros vitales
Plan de control de accesos físico al área de cómputo
Plan de respuestas de emergencias
Plan de procesos intermedios
Plan de reacondicionamiento
Programa de avalúo de riesgo
Cualidades del administrador de seguridad, debe ser una persona con talento
individual capaz de: