viernes, 15 de mayo de 2009

Seguridad informática

Generalmente, los sistemas de información incluyen todos los datos de una compañía y también en el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos. Normalmente, la seguridad informática consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto.

La seguridad informática se resume, por lo general, en cinco objetivos principales: (1) Integridad. Garantizar que los datos sean los que se supone que son. La verificación de la integridad de los datos consiste en determinar si se han alterado los datos durante la transmisión accidental o intencionalmente. (2) Confidencialidad. Asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian. La confidencialidad consiste en hacer que la información sea ininteligible para aquellos individuos que no estén involucrados en la operación. (3) Disponibilidad. Garantizar el correcto funcionamiento de los sistemas de información. El objetivo de la disponibilidad es garantizar el acceso a un servicio o a los recursos. (4) Evitar el rechazo. Garantizar que no se pueda negar una operación realizada. Evitar el repudio de información constituye la garantía de que ninguna de las partes involucradas pueda negar en el futuro una operación realizada. (5) Autenticación. Asegurar que sólo las personas autorizadas tengan acceso a los recursos. La autenticación consiste en la confirmación de la identidad de un usuario; es decir, la garantía para cada una de las partes de que su interlocutor es realmente quien dice ser. Un control de acceso permite garantizar el acceso a recursos únicamente a las personas autorizadas.

La seguridad informática consiste en asegurar que los recursos del sistema de información, conocidos como material informático o productos software, de una organización sean utilizados de la manera planificada y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. Se puede entender como seguridad un estado de cualquier tipo de información que indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para la mayoría de los expertos el concepto de seguridad informática es utópico porque no existe un sistema cien por ciento seguro.

Los activos son los elementos que la seguridad informática tiene como objetivo proteger. Son tres elementos que conforman los activos: (1) Información. Es el objeto de mayor valor para una organización, el objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico. (2) Equipos que la soportan. Software, hardware y organización. (3) Usuarios. Son los individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la información. El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informática que dicta: “lo que no está permitido debe estar prohibido” y ésta debe ser la meta perseguida. Los medios para conseguirlo son: (1) Restringir el acceso, de personas de la organización y de las que no lo son, a los programas y archivos. (2) Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan, sin una supervisión minuciosa. (3) Asegurar que se utilicen los datos, archivos y programas correctos en y por el procedimiento elegido. (4) Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. (5) Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. (6) Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. (7) Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.

Frecuentemente, la seguridad de los sistemas de información es objeto de metáforas. A menudo, se la compara con una cadena, afirmándose que el nivel de seguridad de un sistema es efectivo únicamente si el nivel de seguridad del eslabón más débil también lo es. De la misma forma, una puerta blindada no sirve para proteger un edificio si se dejan las ventanas completamente abiertas. Lo que se trata de demostrar es que se debe afrontar el tema de la seguridad a nivel global y que debe constar de los siguientes elementos: (1) Concientizar a los usuarios acerca de los problemas de seguridad. (2) Seguridad lógica, es decir, la seguridad a nivel de los datos, en especial los datos de la empresa, las aplicaciones e incluso los sistemas operativos de las compañías. (3) Seguridad en las telecomunicaciones. Es decir en las tecnologías de red, servidores de compañías, redes de acceso, etc. (4) Seguridad física. También conocida como seguridad de infraestructuras materiales, consiste en asegurar las habitaciones, los lugares abiertos al público, las áreas comunes de la compañía, las estaciones de trabajo de los empleados, etc.

Generalmente, la seguridad de los sistemas informáticos se concentra en garantizar el derecho a acceder a datos y recursos del sistema configurando los mecanismos de autentificación y control que aseguran que los usuarios de estos recursos sólo posean los derechos que se les han otorgado. Los mecanismos de seguridad pueden sin embargo, causar inconvenientes a los usuarios. Con frecuencia, las instrucciones y las reglas se vuelven cada vez más complicadas a medida que la red crece. Por consiguiente, la seguridad informática debe estudiarse de modo que no evite que los usuarios desarrollen usos necesarios y así puedan utilizar los sistemas de información en forma segura. Por esta razón, uno de los primeros pasos que debe dar una compañía es definir una política de seguridad que pueda implementar en función a las siguientes cuatro etapas: (1) Identificar las necesidades de seguridad y los riesgos informáticos que enfrenta la compañía así como sus posibles consecuencias. (2) Proporcionar una perspectiva general de las reglas y los procedimientos que deben implementarse para afrontar los riesgos identificados en los diferentes departamentos de la organización. (3) Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse informado acerca de las falencias en las aplicaciones y en los materiales que se usan. (4) Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza

La política de seguridad comprende todas las reglas de seguridad que sigue una organización, en el sentido general de la palabra. Por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del sistema. En este sentido, no son sólo los administradores de informática los encargados de definir los derechos de acceso sino sus superiores. El rol de un administrador de informática es el de asegurar que los recursos de informática y los derechos de acceso a estos recursos coincidan con la política de seguridad definida por la organización. Es más, dado que el administrador es la única persona que conoce perfectamente el sistema, deberá proporcionar información acerca de la seguridad a sus superiores, eventualmente aconsejar a quienes toman las decisiones con respecto a las estrategias que deben implementarse, y constituir el punto de entrada de las comunicaciones destinadas a los usuarios en relación con los problemas y las recomendaciones de seguridad.

La seguridad informática de una compañía depende de que los usuarios aprendan las reglas a través de sesiones de capacitación y de concientización. Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas: (1) Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados. (2) Un procedimiento para administrar las actualizaciones. (3) Una estrategia de realización de copias de seguridad planificada adecuadamente. (4) Un plan de recuperación luego de un incidente. (5) Un sistema documentado actualizado. (6) Un listado de las causas de inseguridad.

Guillermo Choque Aspiazu
www.eldiario.net
Febrero 16 de 2009

No hay comentarios: