EL IMPACTO EN LAS ORGANIZACIONES
La creación de políticas de seguridad, viene de la mano de varios tipos de problemas que pueden
afectar el funcionamiento de la organización.
¿Cómo puede la seguridad en las redes impactar a la organización si se implementan para hacer
más seguro el sistema?
La verdad de esto consiste en que la implementación de un sistema de seguridad lleva a
incrementar la complejidad en las operaciones de la organización, tanto en lo técnico como en lo
administrativo.
Por ejemplo, antes de la implementación del sistema de seguridad, cualquier usuario, para
acceder a un recurso, debía entrar con un solo usuario (login). Ahora, con la implementación del
nuevo esquema de seguridad, debe ingresar haciendo uso de dos usuarios (logines): uno para
ingresar al sistema y otro para acceder al recurso.
El usuario entiende esto como un impedimento en su trabajo, en lugar de verlo como
una razón de seguridad para él, pues de esta manera, se puede controlar más el uso
del recurso y, ante algún problema, será mucho más fácil establecer responsabilidades.
Ahora, al poner en funcionamiento cualquiera norma nueva de seguridad, ésta traerá una nueva
tarea para la parte técnica (por ejemplo, cambiar los derechos o privilegios de algunos usuarios) y
administrativamente, se les deberá avisar por medio de una nota de los cambios realizados y en
qué les afectará.
¿CÓMO SE VISUALIZA EL PROCESO?
En un estudio de “Datapro Research Corp. se resumía que los problemas de seguridad en sistemas
basados en redes responde a la siguiente distribución:
- Errores de los empleados 50%
- Empleados deshonestos 15%
- Empleados descuidados 15%
- Otros 20% (Intrusos ajenos a la Empresa 10%; Integridad física de instalaciones 10%)
- Se puede notar que el 80% de los problemas, son generados por los empleados de la organización, y, éstos se podrían tipificar en tres grandes grupos:
1. Problemas por ignorancia
2. Problemas por Pereza
3. Problemas por malicia”.
De todas estas razones que vimos, la ignorancia es la más fácil de direccionar, todo esto a través
del desarrollo de tácticas de entrenamiento y procedimientos formales e informales son
fácilmente neutralizadas. Los usuarios, además, necesitan de tiempo en tiempo, que se les
recuerden cosas que ellos deberían conocer.
La Pereza será siempre un gran problema –tanto para los administradores de sistemas como para
los usuarios – pero, se encuentra que éste es un problema menor cuando los usuarios ven las
metas de los sistemas de seguridad.
Esto requiere soporte de la Administración, y de la organización como un todo formado por
usuarios particulares. Además de esto, un ambiente laboral que se focalice en las soluciones, en
vez de la censura, es generalmente más eficiente que aquel que tiende a la coerción o la
intimidación.
La malicia, se debe combatir creando una cultura en la organización que aliente la lealtad de los
empleados.
La visibilidad consiste en el aporte de las personas de la organización y, dar a conocer las acciones
tomadas. Es decir que, cuando se deben producir cambios en las políticas no es necesario que se
decidan unilateralmente.
Es muy productivo y aconsejable que se integren grupos de trabajo para discutir y/o conocer el
alcance y el tipo de medidas a llevar a cabo. Esto, además de llevar algunas veces a obtener
soluciones que son más efectivas que las que se pensaban tomar, hace que aquellos que sean
sensibles a los cambios no se sientan recelosos de los cambios realizados y se comprometan con el
cambio.
Luego, una vez tomada la decisión, se debe comunicar directamente a todas las personas
involucradas en los cambios realizados por medio de cartas, notas o boletines informativos. De
esta manera, aseguramos que los hechos son visibles al resto de la organización. Como
consecuencia, las personas no sienten resquemores o recelos de las nuevas medidas
implementadas y se unen rápidamente a ellas.
Ahora es muy buena y permitente una recomendación, tener en cuenta cuando deban realizarse
modificaciones, hacerlas contando con la asesoría de la parte legal. Así, se pueden llegar a
establecer los alcances de las penalidades en caso de infringir las normas dictadas.
Así mismo, con respecto a este punto en particular, es muy recordable que las modificaciones o
nuevas normativas, así mismo como sus respectivas penalizaciones, estén bien expuestas, ya sea
por medio de boletines organizaciones (medios de comunicación internos), o cualquiera otro
medio de comunicación organizacional que permita llevar a cabo estas acciones con razonable
éxito.
IMPLEMENTACIÓN DE LAS MEDIDAS DE SEGURIDAD
La implementación de medidas de seguridad en la organización, es un proceso que involucra
tanto al departamento técnico como al administrativo. Como este proceso debe involucrar a toda
la organización, sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya
que sin ese apoyo, las medidas que se tomen no tendrán la validez que se necesita.
Hay que mirar con lupa el impacto en la organización luego de la implementación de las políticas
de seguridad que se hace necesario sopesar cuidadosamente la ganancia en seguridad respecto de
los costos administrativos y técnicos que se generen.
También, como hemos mencionado anteriormente, es fundamental no dejar de lado la
notificación a todos los miembros involucrados en las nuevas normativas y, darlas a conocer al
resto de la organización con el fin de otorgar visibilidad a los actos de la administración.
Pero de todo lo que se ha hablado hay algo que resulta muy claro y es que proponer o identificar
una política de seguridad requiere de un alto compromiso con la organización, precisión técnica
para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función
del ambiente que rodea las organizaciones modernas.
POLÍTICAS GENERALES DE SEGURIDAD
DEFINICIÓN:
Una política de Seguridad Informática (PSI) se encarga de establecer un canal formal de la forma
de actuar del personal, en relación con los recursos y servicios informáticos, importantes de la
organización.
Esto no quiere decir que sea una descripción técnica de mecanismos de seguridad, ni de una
expresión legal que involucre sanciones a las diferentes conductas erróneas de los empleados. Es
más bien una descripción para quienes desean proteger y la razón para ello.
Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios
informáticos críticos de la compañía.
ELEMENTOS
Las Políticas de Seguridad deben considerar entre muchos otros elementos, los que describimos a
continuación:
Alcance de las políticas:
Esto incluye las facilidades, sistemas y el personal sobre la cual aplica. Es una invitación de la
organización a cada uno de sus miembros a reconocer la información como uno de sus principales
activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios.
Objetivos de la política:
Que consiste en la descripción clara de los elementos involucrados en la definición de las mismas.
Responsabilidades:
Que se definen para cada uno de los servicios y recursos informáticos a todos los niveles de la
organización.
Requerimientos mínimos:
Estos son necesarios para la configuración de la seguridad de los sistemas que cubren el alcance
de la política.
Definición de violaciones y de las consecuencias:
Esto para los casos del no cumplimiento de la política.
Responsabilidades de los usuarios:
Esta información y definición de responsabilidades con respecto a la información a la que ella
tiene acceso. Las PSI deben ofrecer explicaciones bastante claras acerca de por qué deben tomarse
ciertas decisiones, es decir, por qué son importantes estos u otros recursos o servicios.
Seguridad en Redes:
Las PSI establecen las expectativas de la organización en relación con la seguridad y lo que ella
puede esperar de las acciones que la materializan en la compañía. Deben mantener un lenguaje
muy claro en el que no se haga uso de tecnicismos ni términos legales que impidan una
comprensión clara de esta políticas, esto obviamente sin sacrificar su precisión y formalidad
dentro de la empresa.
Por otra parte, la política debe especificar la autoridad encargada en hacer que las cosas ocurran,
el rango para los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de
sanciones que se pudieran imponer.
Para terminar, las PSI como documentos de la organización, deben seguir un proceso donde haya
una permanente actualización y que esté sujeta a los cambios organizacionales relevantes tales
como: crecimiento del personal, cambios en infraestructura física o computacional, alta rotación
del personal, cambio de negocios, entre otros.
ALGUNOS PARÁMETROS
Ya hemos venido analizando una pequeña perspectiva de las implicaciones que tiene la
formulación de las políticas de seguridad, es bueno también que miremos algunas
recomendaciones a la hora de documentar y formular estas políticas.
1. Trate de hacer un ejercicio donde haga un análisis de riesgos informáticos, a través del
cual valore los activos, y así poder reafirmar las PSI de su organización.
2. Involucre a las áreas propietarias de los recursos o servicios, ya que estos poseen la
experiencia y son una fuente principal para establecer el alcance y las definiciones de
violaciones a la PSI.
3 Haga una comunicación explícita a todo el personal que esté involucrado en el desarrollo
de las PSI, así con los beneficios y riesgos relacionados con los recursos y bienes, y los
elementos de seguridad.
4. Es necesario identificar quién tiene la autoridad para tomar ciertas decisiones, pues son
ellos los responsables de cuidar los activos de la funcionalidad de su área u organización.
5. Haga un proceso de monitoreo constante de las directrices en el hacer de la organización,
que permita una actualización oportuna de las mismas.
6. Haga explícito y concreto los alcances y propuestas de seguridad, con el propósito de
evitar malos entendidos en el momento de establecer los mecanismos de seguridad que
respondan a las PSI establecidas. No de nada por obvio.
ANÁLISIS PARA LLEVAR A CABO UN SISTEMA DE SEGURIDAD INFORMÁTICA
En el siguiente gráfico veremos los elementos que están involucrados en la asignación de una
política de seguridad.
Analicemos paso a paso en qué consiste este esquema:
1. Se realiza una evaluación del factor humano involucrado, no olvidando que este es el
factor más crítico en todo el sistema de seguridad.
2. Se mira el medio ambiente en que se desempeña el sistema.
3. Las consecuencias que puede traer si este trae consigo defectos en la seguridad, tales
como: pérdidas físicas, pérdidas económicas, en la imagen de la organización, etc.
4. Ahora veamos cuáles son las amenazas posibles.
5. Cuando ya se tiene una evaluación de los cuatro aspectos anteriormente mencionados, se
pasa al punto 6.
6. Hacer un programa de seguridad, que involucra los pasos a tomar para poder asegurar el
horizonte de seguridad que se desea.
7. Luego, nos vamos al plan de acción, que es en sí la forma de la aplicación del programa de
seguridad.
8. Para terminar se procede a la redacción y establecimiento de los procedimientos y
normas que permiten llegar al objetivo final.
RIESGOS
Los usuarios suelen autenticarse haciendo uso de una contraseña o password. Pero la idea es
buscar alternativas más seguras a través de otros medios como: la firma con reconocimiento
automático a través del computador, o el análisis del fondo de ojo, la huella digital entre otras.
Limitándonos a la seguridad propiamente dicha, los riesgos pueden ser múltiples, ahora lo primero
que debemos hacer para atacar estos riesgos es conocerlos y así seguidamente poder tomar
decisiones al respecto; pues el identificarlos y no hacer nada frente a ellos no tendría lógica, y
podríamos estarnos enfrascando en un problema de seguridad que puede acrecentarse cada vez
más.
Sabemos además que las acciones que se deben atender tiene un costo y en muchos casos este es
alto, y por ende esto conlleva a que los dirigentes de la organización se pregunten cuál sería el
riesgo máximo que ellos pudieran hacerle frente.
Una respuesta a este interrogante no es nada fácil, pues esto depende de lo crítico del problema y
de la organización en sí. Es tener que analizar el impacto que este le causaría a la organización.
Algunos ejemplos de daños de menor riesgo podrían ser:
- Acceso indebido a los datos
- Ingreso a sesiones no autorizada de soportes magnéticos con información crítica
- Daños por fuego, por agua
- Variación no autorizada de programas, su copia indebida
- Hackers: quienes intentan acceder a los sistemas sobre todo para demostrar la capacidad de superar las barreras de protección que se hayan establecido en cierta organización.
Ahora, los virus también son una gran amenaza que se convierte en un riesgo constante porque
de forma continua aparecen nuevas modalidades, que no son detectadas por los programas
antivirus hasta que las nuevas versiones los contemplan.
Además es necesario entender que los virus pueden llegar a afectar a los grandes sistemas, sobre
todo a través de las redes, pero esto es realmente difícil, ya que por las características y la
complejidad de los grandes equipos y debido a las características de diseño de los sistemas
operativos.
Luego, podríamos pensar entonces qué sería lo más importante de proteger y podemos decir que
los datos son más críticos si pensamos en lo que esto implica para la continuidad de la
organización.
Sabemos también que muchos de las pérdidas son asumidas por los seguros de la compañía, pero
y qué pasa con las deudas que se generan al no poder recuperar las pérdidas ocasionadas por la
pérdida de datos, o por no poder tomar decisiones a tiempo por la misma carencia de esta
información desaparecida.
NIVELES DE TRABAJO
Veamos el siguiente listado de niveles de trabajo:
1. Confidencialidad: Esto es la protección de la información contra la lectura no autorizada.
2. Integridad: La información que se vaya a proteger incluye no sólo la que está almacenada
directamente en los sistemas de cómputo sino que también se deben considerar
elementos menos obvios como respaldos. Esto comprende cualquier tipo de
modificaciones:
- Causadas por errores de hardware y/o software.
- Causadas de forma intencional.
- Ausadas de forma accidental. Cuando se trabaja con una red, se debe comprobar que los datos no fueron modificados durante su transferencia.
1. Autenticidad: la autenticidad garantiza que quien dice ser "X" es realmente "X".
2. Disponibilidad de los recursos y de la información: La información no sirve de nada si se
encuentra en el sistema pero los usuarios no pueden acceder a ella. La disponibilidad
también se entiende como la capacidad de un sistema para recuperarse rápidamente en
caso de algún problema.
3. Consistencia: Consiste en asegurar que el sistema siempre se comporte de la forma
esperada.
4. Control de Acceso: Consiste en controlar quién utiliza el sistema o cualquiera de los
recursos que ofrece además de controlar cómo lo hacen.
5. Auditoría: Esto es tener los mecanismos necesarios para poder determinar qué es lo que
sucede en el sistema, qué es lo que hace cada uno de los usuarios y los tiempos y fechas
de dichas en que estos hacen cualquier operación.
No hay comentarios.:
Publicar un comentario