Evaluación Seguridad de un Sistema informático Cuando se habla de la función informática generalmente se tiende a hablar de tecnología nueva, de nuevas aplicaciones, nuevos dispositivos hardware, nuevas formas de elaborar información más consistente, etc Los primeros puntos nos muestran que la información esta centralizada y que puede tener un alto valor y lo s últimos puntos nos muestran que se puede provocar la destrucción total o parcial de la información, que incurre directamente en su disponibilidad que puede causar retrasos de alto costo. Es muy importante conocer el significado de dos palabras, que son riesgo y seguridad. Riesgo Proximidad o posibilidad de un daño, peligro, etc. Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro. Seguridad Cualidad o estado de seguro. Garantía o conjunto de garantías que se da a alguien sobre el cumplimiento de algo. Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc Se dice también de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a hacer más seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturón de seguridad. Con estos conceptos claros podemos avanzar y hablar la criminología ya ha calificado los "delitos hechos mediante computadora "o por " sistemas de información" en el grupo de delitos de Delitos accidentales e incidentales Los delitos cometidos utilizando la computadora han crecido en tamaño, forma y variedad. cuello blanco. Entre los hechos criminales más famosos en los E.E.U.U. están: El caso del Banco Wells Fargo donde se evidencio que la protección de archivos era inadecuada, cuyo error costo USD 21.3 millones. El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales, etc Virus informático Definición: El virus informático es un programa elaborado accidental o intencionadamente, que se introduce y se transmite a través de diskettes o de la red telefónica de comunicación entre ordenadores, causando diversos tipos de daños a los sistemas computarizados. Ejemplo: el virus llamado viernes trece o Jerusalén, que desactivó el conjunto de ordenadores de la defensa de Israel y que actualmente se ha extendido a todo el mundo Las primeras referencias de virus con fines intencionales surgieron en 1983 cuando Digital Equipament Corporation (DEC) empleo empleó una subrutina para proteger su famoso procesador de textos Decmate II, que el 1 de abril de 1983 en caso de ser copia ilegal borraba todos los archivos de su unidad de disco. Paradigmas Organizacionales en Cuanto a Seguridad Paradigma: Modelo o ejemplo de algo, En filosofía: Conjunto de ideas filosóficas, teorías científicas y normas metodológicas que influyen en la forma de resolver los problemas en una determinada tradición científica. Del paradigma se desprenden las reglas que rigen las investigaciones. Cuando dentro de un paradigma aparecen anomalías excesivas, se produce una revolución científica que consiste precisamente en el cambio de paradigma Es muy importante que el auditor conozca los paradigmas que existen en las organizaciones sobre la seguridad, para no encontrarse con un contrincante desconocido. Establecer las Areas y Grados de Riesgo Es muy importante el crear una conciencia en los usuarios de la organización sobre el riesgo que corre la información y hacerles comprender que la seguridad es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la función informática y los medios de prevención que se deben tener Riesgo Computacional Se debe evaluar las aplicaciones y la dependencia del sistema de información, para lo cual es importante considerar responder las siguientes cuatro preguntas Disposiciones que Acompañan la Seguridad De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organización, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de acción para llevarse a cabo en caso de presentarse situaciones de riesgo. Higiene Otro aspecto que parece de menor importancia es el de orden e higiene, que debe observarse con mucho cuidado en las áreas involucradas de la organización (centro de computo y demás dependencias), pues esto ayudará a detectar problemas de disciplina y posibles fallas en la seguridad Cultura Personal Cuando hablamos de información, su riesgo y su seguridad, siempre se debe considerar al elemento humano, ya que podría definir la existencia o no de los más altos grados de riesgo. Por lo cual es muy importante considerar la idiosincrasia del personal, al menos de los cargos de mayor dependencia o riesgo Sistema de Seguridad Integral Como hablamos de realizar la evaluación de la seguridad es importante también conocer como desarrollar y ejecutar el implantar un sistema de seguridad. Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa." Etapas para Implementar un Sistema de Seguridad Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos: Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad. * Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software, hardware, recursos humanos, y ambientales Consideraciones para con el Personal :Es de gran importancia la elaboración del plan considerando el personal, pues se debe llevar a una conciencia para obtener una autoevaluación de su comportamiento con respecto al sistema, que lleve a la persona a: Asumir riesgos ,Cumplir promesas , Innovar Motivar Se debe desarrollar métodos de participación reflexionando sobre lo que significa la seguridad y el riesgo, así como su impacto a nivel empresarial, de cargo e individual Capacitación General En un principio a los ejecutivos con el fin de que conozcan y entiendan la relación entre seguridad, riesgo y la información, y su impacto en la empresa. El objetivo de este punto es que se podrán detectar las debilidades y potencialidades de la organización frente al riesgo. Este proceso incluye como práctica necesaria la implantación la ejecución de planes de contingencia y la simulación de posibles delitos. Capacitación de Técnicos Se debe formar técnicos encargados de mantener la seguridad como parte de su trabajo y que esté capacitado para capacitar a otras personas en lo que es la ejecución de medidas preventivas y correctivas Ética y Cultura Se debe establecer un método de educación estimulando el cultivo de elevados principios morales, que tengan repercusión a nivel personal e institucional Beneficios de un Sistema de Seguridad Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos: Aumento de la productividad. Aumento de la motivación del personal. Compromiso con la misión de la compañía. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los RR.HH 1
Hosted by www.Geocities.ws