GUA DE POLTICAS DE SEGURIDAD

INFORMTICAS
I. Polticas geneales !e seg"i!a!
A. #$"% son las &olticas !e seg"i!a! in'o()tica *PSI+,
Una poltica de seguridad informtica es una forma de comunicarse con los
usuarios y los gerentes. Las PSI establecen el canal formal de actuacin
del personal, en relacin con los recursos y servicios informticos,
importantes de la organizacin.
o se trata de una descripcin t!cnica de mecanismos de seguridad, ni de
una e"presin legal #ue involucre sanciones a conductas de los
empleados. $s ms bien una descripcin de los #ue deseamos proteger y
el por#u! de ello.
%ada PSI es consciente y vigilante del personal por el uso y limitaciones
de los recursos y servicios informticos crticos de la compa&a.
-. Ele(entos !e "na &oltica !e seg"i!a! in'o()tica
Una PSI debe orientar las decisiones #ue se toman en relacin con la
seguridad. Por tanto, re#uiere de una disposicin por parte de cada uno de
los miembros de la empresa para lograr una visin con'unta de lo #ue se
considera importante. Las PSI deben considerar entre otros, los siguientes
elementos(
). Alcance !e las &olticas, incluyendo facilidades, sistemas y personal
sobre la cual aplica. $s una invitacin de la organizacin a cada uno de
sus miembros a reconocer la informacin como uno de sus principales
activos as como, un motor de intercambio y desarrollo en el mbito de
sus negocios. Invitacin #ue debe concluir en una posicin.
*. O./eti0os !e la &oltica y descripcin clara de los elementos
involucrados en su definicin.
+. Res&onsa.ili!a!es &o ca!a "no !e los se0icios y recursos
informticos a todos los niveles de la organizacin.
,. Re1"ei(ientos (ni(os para configuracin de la seguridad de los
sistemas #ue cobi'a el alcance de la poltica.
-. De'inici2n !e 0iolaciones y de las consecuencias del no cumplimiento
de la poltica.
.. Res&onsa.ili!a!es !e los "s"aios con respecto a la informacin a la
#ue ella tiene acceso.
Las PSI deben ofrecer e"plicaciones comprensibles acerca de por #u!
deben tomarse ciertas decisiones, transmitir por #u! son importantes estos
u otros recursos o servicios.
/e igual forma, las PSI establecen las e"pectativas de la organizacin en
relacin con la seguridad y lo #ue ella puede esperar de las acciones #ue
la materializan en la compa&a. /eben mantener un lengua'e com0n, libre
de tecnicismos y t!rminos legales #ue impidan una comprensin clara de
las mismas, sin sacrificar su precisin y formalidad dentro de la empresa.
Por otra parte, la poltica debe especificar la autoridad #ue debe 1acer #ue
las cosas ocurran, el rango de los correctivos y sus actuaciones #ue
permitan dar indicaciones sobre la clase de sanciones #ue se puedan
imponer. o debe especificar con e"actitud #u! pasara o cundo algo
suceder2 no es una sentencia obligatoria de la ley.
3inalmente, las PSI como documentos dinmicos de la organizacin,
deben seguir un proceso de actualizacin peridica su'eto a los cambios
organizacionales relevantes( crecimiento de la planta de personal, cambio
en la infraestructura computacional, alta rotacin de personal, desarrollo de
nuevos servicios, cambio o diversificacin de negocios entre otros.
C. Es&ee lo ines&ea!o
Imagine lo #ue sucedera si(
). La informacin esencial fuera robada, se perdiera, estuviera en peligro,
fuera alterada o borrada.
*. Los sistemas de correo electrnico no funcionaran durante un da o ms.
4%unto costara esta improductividad5
+. Los clientes no pudieran enviar rdenes de compra a trav!s de la red
durante un prolongado periodo de tiempo.
Se espera #ue los e'ecutivos corporativos se interesen cada vez ms
directamente en la prevencin de desastres fsicos y espiona'e.
Implementar una poltica de seguridad completa le da valor a su empresa.
6ambi!n me'orar la credibilidad y reputacin de la empresa y aumentar
la confianza de los accionistas principales, lo #ue le dar a la empresa una
venta'a estrat!gica.
D. #C2(o !esaolla "na &oltica !e seg"i!a!,
3. I!enti'i1"e 4 e0al5e los acti0os( 7u! activos deben protegerse y
cmo protegerlos de forma #ue permitan la prosperidad de la empresa(
6a!7ae8 terminales, estaciones de traba'o, procesadores,
teclados, unidades de disco, computadoras personales, tar'etas,
router, impresoras, lneas de comunicacin, cableado de la red,
servidores de terminales, bridges.
So't7ae8 sistemas operativos, programas fuente, programas ob'eto,
programas de diagnstico, utileras, programas de comunicaciones.
Datos8 durante la e'ecucin, almacenados en lnea, arc1ivados fuera
de lnea, bac89up, bases de datos, en trnsito sobre medios de
comunicacin.
Pesonas8 usuarios, personas para operar los sistemas.
Doc"(entaci2n8 sobre programas, 1ard:are, sistemas,
procedimientos administrativos locales.
I!enti'i1"e las a(ena9as8 4%ules son las causas de los
potenciales problemas de seguridad5 %onsidere la posibilidad de
violaciones a la seguridad y el impacto #ue tendran si ocurrieran.
$stas amenazas son e"ternas o internas(
o A(ena9as e:tenas8 Se originan fuera de la organizacin y son
los virus, gusanos, caballos de 6roya, intentos de ata#ues de los
1ac8ers, e&esalia de e"9empleados o espiona'e industrial.
o A(ena9as intenas8 Son las amenazas #ue provienen del interior
de la empresa y #ue pueden ser muy costosas por#ue el infractor
tiene mayor acceso y perspicacia para saber dnde reside la
informacin sensible e importante. Las amenazas internas tambi!n
incluyen el uso indebido del acceso a Internet por parte de los
empleados, as como los problemas #ue podran ocasionar los
empleados al enviar y revisar el material ofensivo a trav!s de
Internet.
;. E0al"% los iesgos8 ;ste puede ser uno de los componentes ms
desafiantes del desarrollo de una poltica de seguridad. /ebe
calcularse la probabilidad de #ue ocurran ciertos sucesos y determinar
cules tienen el potencial para causar muc1o da&o. $l costo puede ser
ms #ue monetario 9 se debe asignar un valor a la p!rdida de datos, la
privacidad, responsabilidad legal, atencin p0blica indeseada, la
p!rdida de clientes o de la confianza de los inversionistas y los costos
asociados con las soluciones para las violaciones a la seguridad.
<. Asigne las es&onsa.ili!a!es8 Seleccione un e#uipo de desarrollo
#ue ayude a identificar las amenazas potenciales en todas las reas de
la empresa. Sera ideal la participacin de un representante por cada
departamento de la compa&a. Los principales integrantes del e#uipo
seran el administrador de redes, un asesor 'urdico, un e'ecutivo
superior y representantes de los departamentos de <ecursos =umanos
y <elaciones P0blicas.
=. Esta.le9ca &olticas !e seg"i!a!8 %ree una poltica #ue apunte a los
documentos asociados2 parmetros y procedimientos, normas, as
como los contratos de empleados. $stos documentos deben tener
informacin especfica relacionada con las plataformas informticas, las
plataformas tecnolgicas, las responsabilidades del usuario y la
estructura organizacional. /e esta forma, si se 1acen cambios futuros,
es ms fcil cambiar los documentos subyacentes #ue la poltica en s
misma.
Involucre a las reas propietarias de los recursos o servicios, pues
ellos poseen la e"periencia y son fuente principal para establecer el
alcance y las definiciones de violaciones a la PSI.
%omuni#ue a todo el personal involucrado en el desarrollo de las
PSI, los beneficios y riesgos relacionados con los recursos y bienes,
y sus elementos de seguridad.
<ecuerde #ue es necesario identificar #ui!n tiene la autoridad para
tomar decisiones, pues son ellos los responsables de salvaguardar
los activos crticos de la funcionalidad de su rea u organizacin.
/esarrolle un proceso de monitoreo peridico de las directrices en el
1acer de la organizacin, #ue permita una actualizacin oportuna de
las mismas.
Un 0ltimo conse'o( no d! por 1ec1o algo #ue es obvio. =aga e"plcito
y concreto los alcances y propuestas de seguridad, con el propsito
de evitar sorpresas y malos entendidos en el momento de establecer
los mecanismos de seguridad #ue respondan a las PSI trazadas.
>. I(&le(ente "na &oltica en to!a la ogani9aci2n8 La poltica #ue se
esco'a debe establecer claramente las responsabilidades en cuanto a
la seguridad y reconocer #ui!n es el propietario de los sistemas y datos
especficos. 6ambi!n puede re#uerir #ue todos los empleados firmen la
declaracin2 si la firman, debe comunicarse claramente. ;stas son las
tres partes esenciales de cumplimiento #ue debe incluir la poltica(
). C"(&li(iento8 Indi#ue un procedimiento para garantizar el
cumplimiento y las consecuencias potenciales por incumplimiento.
*. F"ncionaios !e seg"i!a!8 ombre individuos #ue sean
directamente responsables de la seguridad de la informacin.
>seg0rese de #ue no es la misma persona #ue supervisa,
implementa revisa la seguridad para #ue no 1aya conflicto de
intereses.
+. Financiaci2n8 >seg0rese de #ue a cada departamento se le 1aya
asignado los fondos necesarios para poder cumplir adecuadamente
con la poltica de seguridad de la compa&a.
?. A!(iniste el &oga(a !e seg"i!a!8 $stablezca los procedimientos
internos para implementar estos re#uerimientos y 1acer obligatorio su
cumplimiento.
E. C"ato &inci&ios !el ciclo 0ital !e la seg"i!a! !e la in'o(aci2n8
Para convencer a los gobiernos de #ue un enfo#ue de lnea dura no es
necesario, todas las personas #ue traba'an con sistemas de informacin,
deben participar activamente en el desarrollo y uso de las prcticas
e"itosas de la seguridad. $sto significa en realidad entender y adoptar los
cuatro principios bsicos del ciclo de vida de seguridad de la informacin,
los cuales se pueden resumir as(
3. E0al"aci2n !e iesgos( $valuar los riesgos de seguridad de la
informacin y determinar niveles de riesgos aceptables.
;. Dise@o e i(&le(entaci2n !e la seg"i!a!8 Incorporar las polticas,
normas, procedimientos y la tecnologa de la seguridad como elementos
esenciales en el dise&o e implementacin de todos los sistemas y redes
de informacin.
<. Mane/o !e la seg"i!a!8 >doptar un enfo#ue completo para el mane'o
de la seguridad en todo el ciclo de vida de los sistemas y redes de
informacin.
=. ReAe0al"aci2n8 $studiar y re9evaluar la seguridad de los sistemas y
redes de informacin y si es pertinente, modificar las polticas, normas,
procedimientos y tecnologa.
Po&osici2n !e "na 'o(a !e eali9a el an)lisis &aa lle0a a ca.o "n
siste(a !e seg"i!a! in'o()tica
6al como puede visualizarse, en el grfico estn todos los elementos #ue
intervienen para el estudio de una poltica de seguridad.
Se comienza realizando una evaluacin del 'acto B"(ano interviniente ?
teniendo en cuenta #ue !ste es el punto ms vulnerable en toda la cadena
de seguridad 9, de los (ecanis(os con #ue se cuentan para llevar a cabo
los procesos necesarios @ mecanismos t!cnicos, fsicos lgicosA, luego,
el (e!io a(.iente en #ue se desempe&a el sistema, las consec"encias
#ue puede traer apare'ado defectos en la seguridad @p!rdidas fsicas,
p!rdidas econmicas, en la imagen de la organizacin, etc.A, y cules son
las a(ena9as &osi.les.
Una vez evaluado todo lo anterior, se origina un &oga(a !e seg"i!a!C
#ue involucra los pasos a tomar para poder asegurar el umbral de
seguridad #ue se desea.
Luego, se pasa al &lan !e acci2n, #ue es cmo se va a llevar a cabo el
programa de seguridad. 3inalmente, se redactan los &oce!i(ientos 4
no(as #ue permiten llegar a buen destino.
%on el propsito de asegurar el cumplimiento de todo lo anterior, se
eali9an los contoles 4 la 0igilancia #ue aseguran el fiel cumplimiento
de los tres puntos antepuestos. Para asegurar un marco efectivo, se
realizan a"!itoas a los controles y a los arc1ivos logsticos #ue se
generen en los procesos implementados @de nada vale tener arc1ivos
logsticos si nunca se los analizan o se los analizan cuando ya 1a ocurrido
un problemaA.
%on el ob'eto de confirmar el buen funcionamiento de lo creado, se
procede a si("la eventos #ue atenten contra la seguridad del sistema.
%omo el proceso de seguridad es un proceso dinmico, es necesario
realizar e0isiones al programa de seguridad, al plan de accin y a los
procedimientos y normas. $stas revisiones, tendrn efecto sobre los
puntos tratados en el primer prrafo y, de esta manera, el proceso se
vuelve a repetir.
$s claro #ue el establecimiento de polticas de seguridad es un proceso
dinmico sobre el #ue 1ay #ue estar actuando permanentemente, de
manera tal #ue no #uede desactualizado2 #ue, cuando se le descubran
debilidades, !stas sean subsanadas y, finalmente, #ue su prctica por los
integrantes de la organizacin no caiga en desuso.
II. C"(&li(iento !e las &olticas 4 no(ati0as !e seg"i!a!
Las empresas necesitan establecer polticas, estndares y procedimientos de
seguridad para 1acer cumplir la seguridad de la informacin de forma
estructurada. Una evaluacin de riesgos le ayudar a identificar y administrar
las vulnerabilidades de su entorno., %on base en este anlisis, usted puede
desarrollar un marco de polticas apropiado y empezar a construir un con'unto
de polticas adaptadas a su empresa.
La norma ISB )CCDD es una de las muc1as regulaciones y estndares
gubernamentales, o del sector, #ue las empresas estn incorporando a sus
polticas de seguridad. Su empresa tambi!n puede estar su'eta a normativas
de seguridad especficas del sector, tales como =IP>> y ELF>. $stas
polticas e"ternas deben cumplirse, adems de las propias polticas internas
de su compa&a. Una cosa es adoptar una poltica de seguridad y otra muy
diferente es administrarla y cumplirla eficazmente. >ctualizar los controles de
acceso, y las medidas de autenticacin y autorizacin en todos los niveles de
la red es una necesidad imperiosa para una poltica de seguridad eficaz. La
omisin de esta informacin puede incrementar la e"posicin a riesgos. Las
compa&as pueden contar con polticas de seguridad de la informacin para
proteger los activos importantes y los datos crticos, pero muy rara vez
cuentan con los medios para monitorear eficazmente el cumplimiento de esta
poltica.
A. #Po 1"% las &olticas !e seg"i!a! in'o()tica geneal(ente no
consig"en i(&lantase,
Guc1as veces, las organizaciones realizan grandes esfuerzos para definir
sus directivas de seguridad y concretarlas en documentos #ue orienten las
acciones de las mismas, con relativo !"ito. Seg0n algunos estudios resulta
una labor ardua convencer a los altos e'ecutivos de la necesidad de
buenas polticas y prcticas de seguridad informtica.
Guc1os de los inconvenientes se inician por los tecnicismos informticos y
por la falta de una estrategia de mercadeo de los especialistas en
seguridad #ue, llevan a los altos directivos a pensamientos como( Hms
dinero para los 'uguetes de los ingenierosH.
$sta situacin 1a llevado a #ue muc1as empresas con activos muy
importantes, se encuentren e"puestas a graves problemas de seguridad
#ue, en muc1os de los casos, lleva a comprometer su informacin sensible
y por ende su imagen corporativa.
>nte esta encruci'ada, los encargados de la seguridad deben asegurarse
de #ue las personas relevantes entienden los asuntos importantes de la
seguridad, conocen sus alcances y estn de acuerdo con las decisiones
tomadas en relacin con esos asuntos.
$n particular, la gente debe conocer las consecuencias de sus decisiones,
incluyendo lo me'or y lo peor #ue podra ocurrir. Una intrusin o una
travesura pueden convertir a las personas #ue no entendieron, en blanco
de las polticas o en se&uelos de los verdaderos vndalos. Luego, para
#ue las PSI logren abrirse espacio en el interior de una organizacin deben
integrarse a las estrategias del negocio, a su misin y visin, con el
propsito de #ue los #ue toman las decisiones reconozcan su importancia
e incidencias en las proyecciones y utilidades de la compa&a.
/e igual forma, las PSI deben ir acompa&adas de una visin de negocio
#ue promueva actividades #ue involucren a las personas en su 1acer
diario, donde se identifi#uen las necesidades y acciones #ue materializan
las polticas. $n este conte"to, entender la organizacin, sus elementos
culturales y comportamientos nos debe llevar a reconocer las pautas de
seguridad necesarias y suficientes #ue aseguren confiabilidad en las
operaciones y funcionalidad de la compa&a.
> continuacin, mencionamos algunas recomendaciones para concientizar
sobre la seguridad informtica(
/esarrolle e'emplos organizacionales relacionados con fallas de
seguridad #ue capten la atencin de sus interlocutores.
>socie el punto anterior a las estrategias de la organizacin y a la
imagen #ue se tiene de la organizacin en el desarrollo de sus
actividades.
>rticule las estrategias de seguridad informtica con el proceso de
toma de decisiones y los principios de integridad, confidencialidad y
disponibilidad de la informacin. Guestre una valoracin costo9
beneficio, ante una falla de seguridad.
Iustifi#ue la importancia de la seguridad informtica en funcin de
1ec1os y preguntas concretas, #ue muestren el impacto, limitaciones y
beneficios sobre los activos claves de la organizacin.
-. Un so't7ae !e seg"i!a! ("4 ."enoC &eo ("4 !i'cil !e a!(inista
Puede ser difcil obtener informacin en tiempo real acerca de lo #ue
sucede en su red empresarial. Si 1a instalado varios dispositivos de
seguridad en la red, usted sabe #ue se necesita tiempo para ordenar los
datos #ue ingresan con millones de eventos y #ue encontrar los problemas
ms importantes a tiempo para poder actuar es todo un reto. Gs a0n,
necesita empleados calificados #ue posean la e"periencia necesaria para
interpretar dic1os datos, independientemente de #ue se trate de un anlisis
de tendencias o de simplemente separar una serie de eventos importantes
de los #ue son irrelevantes.
Una situacin tpica es cuando usted instala los componentes de seguridad
por separado y cada uno de ellos viene e#uipado con su propia consola de
administracin Usted sabe #ue el tiempo es vital puesto #ue los incidentes
de seguridad no esperan a #ue el personal los descubra. %omo usted no
cuenta con una sola visualizacin de los eventos en todo el permetro de la
red, sucesos como los intentos de ingresar a su servidor corporativo, o una
amenaza combinada #ue se atraviese en la red, pueden estar sucediendo
en sus propias narices.
C. Contol !e las a(ena9as co(.ina!as
Las amenazas combinadas, como %ode<ed y imda. Lo #ue diferencia a
!stas de los otros gusanos de Internet es #ue utilizan m0ltiples m!todos de
ata#ue o propagacin., >parte de esto, estas amenazas nos 1an ense&ado
#ue es anticuado el enfo#ue de Hpara cada amenaza, 1ay una curaH. Para
defender a la empresa de las amenazas combinadas, se re#uiere
proteccin de toda la red y una capacidad de respuesta en los niveles del
gate:ay, del servidor y de los clientes. Eeneralmente las amenazas
combinadas se aprovec1an de las vulnerabilidades conocidas, como los
desbordamientos de b0fer, las vulnerabilidades de la validacin de entrada
de 1ttp, las contrase&as predeterminadas conocidas, entre otras. 6odo
esto puede atenuarse con los parc1es e"istentes de seguridad de
aplicaciones y sistemas operativos. 4%mo se asegura #ue todos los
sistemas est!n actualizados con los 0ltimos parc1es de seguridad5
D. Las &olticas !e seg"i!a! in'o()tica co(o .ase !e la
a!(inistaci2n !e la seg"i!a! integal.
Las polticas de seguridad informtica conforman el con'unto de
lineamientos #ue una organizacin debe seguir para asegurar la
confiabilidad de sus sistemas. $n razn de lo anterior, son parte del
engrana'e del sistema de seguridad #ue la organizacin posee para
salvaguardar sus activos. Las PSI constituyen las alarmas y compromisos
compartidos en la organizacin, #ue le permiten actuar proactivamente
ante situaciones #ue comprometan su integridad. Por tanto, deben
constituir un proceso continuo y retroalimentado #ue observe la
concientizacin, los m!todos de acceso a la informacin, el monitoreo de
cumplimiento y la renovacin, aceptacin de las directrices y estrategia de
implantacin, #ue lleven a una formulacin de directivas institucionales #ue
logren aceptacin general.
Las polticas por s mismas no constituyen una garanta para la seguridad
de la organizacin. $llas deben responder a intereses y necesidades
organizacionales basados en la visin de negocio, #ue lleven a un
esfuerzo con'unto de sus actores por administrar sus recursos y a
reconocer en los mecanismos de seguridad informtica factores #ue
facilitan la normalizacin y materializacin de los compromisos ad#uiridos
con la organizacin.
3. La seg"i!a! tiene 0aios estatos8
$l marco 'urdico adecuado.
Gedidas t!cnico9administrativas, como la e"istencia de polticas y
procedimientos o la creacin de funciones, como administracin de la
seguridad o auditora de sistemas de informacin interna.
>mbas funciones 1an de ser independientes y nunca una misma
persona podr realizar las dos ni e"istir dependencia 'err#uica de una
funcin respecto de otra. $n cuanto a la administracin de seguridad
pueden e"istir, adems, coordinadores en las diferentes reas
funcionales y geogrficas de cada entidad, especialmente si la
dispersin, la comple'idad organizativa o el volumen de la entidad as lo
demandan.
$n todo caso, debe e"istir una definicin de funciones y una separacin
suficiente de tareas. o tiene sentido #ue una misma persona autorice
una transaccin, la introduzca, y revise despu!s los resultados @un diario
de operaciones, por e'emploA, por#ue podra planificar un fraude o
encubrir cual#uier anomala2 por ello deben intervenir funciones J
personas diferentes y e"istir controles suficientes.
La seguridad fsica, como la ubicacin de los centros de procesos, las
protecciones fsicas, el control fsico de accesos, los vigilantes, las
medidas contra el fuego y el agua, y otras similares.
La llamada seguridad lgica, como el control de accesos a la
informacin e"ige la identificacin y autenticacin del usuario, o el
cifrado de soportes magn!ticos intercambiados entre entidades o de
respaldo interno, o de informacin transmitida por lnea. Puede 1aber
cifrado de la informacin por dispositivos fsicos o a trav!s de
programas, y en casos ms crticos e"isten los dos niveles.
E. Riesgos
La autenticacin suele realizarse mediante una contrase&a, aun cuando
sera ms lgico 9 si bien los costes resultan todava altos para la mayora
de sistemas 9 #ue se pudiera combinar con caractersticas biom!tricas del
usuario para impedir la suplantacin. $ntre !stas pueden estar( la
realizacin de la firma con reconocimiento automtico por ordenador, el
anlisis del fondo de o'o, la 1uella digital u otras.
>l margen de la seguridad, nos parece #ue el mayor riesgo, aun teniendo
un entorno muy seguro, es #ue la Informtica y la 6ecnologa de la
Informacin en general no cubran las necesidades de la entidad2 o #ue no
est!n alineadas con las finalidades de la organizacin.
Limitndonos a la seguridad propiamente dic1a, los riesgos pueden ser
m0ltiples.
$l primer paso es conocerlos y el segundo es tomar decisiones al
respecto2 conocerlos y no tomar decisiones no tiene sentido y debiera
crearnos una situacin de desasosiego.
/ado #ue las medidas tienen un costo, a veces, los funcionarios se
preguntan cul es el riesgo m"imo #ue podra soportar su organizacin.
La respuesta no es fcil por#ue depende de la criticidad del sector y de la
entidad misma, de su dependencia respecto de la informacin, y del
impacto #ue su no disponibilidad pudiera tener en la entidad. Si nos
basamos en el impacto nunca debera aceptarse un riesgo #ue pudiera
llegar a poner en peligro la propia continuidad de la entidad, pero este
listn es demasiado alto.
Por deba'o de ello 1ay da&os de menores consecuencias, siendo los
errores y omisiones la causa ms frecuente 9 normalmente de poco
impacto pero frecuencia muy alta 9 y otros, como por e'emplo(
el acceso indebido a los datos @a veces a trav!s de redesA,
la cesin no autorizada de soportes magn!ticos con informacin crtica
@algunos dicen HsensibleHA,
los da&os por fuego, por agua @del e"terior como puede ser una
inundacin, o por una tubera interiorA,
la variacin no autorizada de programas, su copia indebida, y tantos
otros, persiguiendo el propio beneficio o causar un da&o, a veces por
venganza.
Btra figura es la del K1ac8erL, #ue intenta acceder a los sistemas sobre
todo para demostrar @a veces, para demostrarse a s mismoJaA #u! es
capaz de 1acer, al superar las barreras de proteccin #ue se 1ayan
establecido. >lguien podra preguntarse por #u! no se citan los virus,
cuando 1an tenido tanta incidencia. >fortunadamente, este riesgo es
menor en la actualidad comparando con a&os atrs. $"iste, de todas
maneras, un riesgo constante por#ue de forma continua aparecen nuevas
modalidades, #ue no son detectadas por los programas antivirus 1asta #ue
las nuevas versiones los contemplan. Un riesgo adicional es #ue los virus
pueden llegar a afectar a los grandes sistemas, sobre todo a trav!s de las
redes, pero esto es realmente difcil 9 no nos atrevemos a decir #ue
imposible9 por las caractersticas y la comple'idad de los grandes e#uipos y
debido a las caractersticas de dise&o de sus sistemas operativos.
$n definitiva, las amenazas 1ec1as realidad pueden llegar a afectar en los
datos, en las personas, en los programas, en los e#uipos, en la red y
algunas veces, simultneamente en varios de ellos, como puede ser un
incendio.
Podramos 1acernos una pregunta realmente difcil( 4#u! es lo ms crtico
#ue debera protegerse5 La respuesta de la mayora, probablemente, sera
#ue las personas resultan el punto ms crtico y el valor de una vida
1umana no se puede comparar con las computadoras, las aplicaciones o
los datos de cual#uier entidad. >1ora bien, por otra parte, podemos
determinar #ue los datos son a0n ms crticos si nos centramos en la
continuidad de la entidad.
%omo consecuencia de cual#uier incidencia, se pueden producir unas
p!rdidas #ue pueden ser no slo directas @com0nmente #ue son cubiertas
por los segurosA ms fcilmente, sino tambi!n indirectas, como la no
recuperacin de deudas al perder los datos, o no poder tomar las
decisiones adecuadas en el momento oportuno por carecer de
informacin.
Sabemos #ue se producen casos similares en gran parte de entidades,
pero en general no conocemos a cules 1an afectado @o lo sabemos pero
no podemos difundirloA, por#ue por imagen estos no se 1acen p0blicos y el
1ec1o de #ue se conozcan muc1os ms referidos a $stados Unidos y a
otros puntos le'anos #ue respecto de nuestros pases no significa #ue
estemos a salvo, sino #ue nuestro pudor es mayor y los ocultamos siempre
#ue podemos.
Los Po.le(as !e la seg"i!a!
Los problemas de seguridad #ue surgen da a da llevan a #ue las altas
gerencias se pregunten si el nivel de Seguridad Informtica alcanzado por la
estructura e"istente es el #ue realmente necesita la organizacin.
Los KPenetration 6estK y el anlisis por medio de 1erramientas detectoras de
vulnerabilidades slo dan una foto parcial de la realidad de la Seguridad
Informtica de una organizacin ,ya #ue no toman en cuenta la misin de
negocio de cada uno de los sistemas, #ue es la #ue debe determinar el
grado de criticidad de los riesgos y el nivel de las contramedidas a
implementar dentro de una ecuacin econmica e#uilibrada.
Por lo tanto, la 0nica forma de evaluar la Seguridad Informtica de una
Brganizacin es conocer la misin de sus sistemas y aplicar metodologas de
anlisis especficas.
An)lisis &oacti0o !e Riesgos In'o()ticos8
Se rev!n los riesgos informticos de tipo 3sico, 6!cnico y >dministrativo con
respecto a la Integridad, /isponibilidad y %onfidencialidad de la Informacin
#ue mane'an los Sistemas de la $mpresa. $l resultado del diagnstico surge
del anlisis del estado de los riesgos, de la eficiencia de las contramedidas
especficas en funcionamiento y de la criticidad de la misin de cada parte
del sistema.
Re0isi2n analtica !e las Polticas !e Seg"i!a! In'o()tica e:istentes8
Se rev!n los con'untos de normas y procedimientos implementados para la
minimizacin de riesgos informticos o, en caso de #ue no e"istan de
manera formal, de las soluciones de Seguridad $"istentes.
$l resultado del diagnstico surge del anlisis y comprobacin de la
eficiencia de la Poltica para minimizar riesgos en el marco de la
problemtica informtica y necesidades de disponibilidad de los sistemas de
la organizacin.
Re0isi2n analtica !e los Planes !e Contingencia 4 Contin"i!a! !e
Negocio e:istentes8
Se rev!n los con'untos de normas y procedimientos de recuperacin y
mantenimiento de operatividad mnima o, en caso de #ue no e"istan de
manera formal, de los mecanismos de contingencia e"istentes.
$l resultado del diagnstico surge del anlisis de la eficiencia de los planes
en el marco de riesgo y de las necesidades de disponibilidad de los sistemas
de la organizacin.
Re0isi2n !e Est)n!aes 4 Me/oes P)cticas !e Seg"i!a! In'o()tica8
$ste servicio est pensado para las organizaciones #ue van a ser auditadas
de manera e"terna en su estructura de Seguridad Informtica, ya sea por su
%asa Gatriz, socios estrat!gicos, futuros clientes o proveedores o entidades
reguladoras.
6oda >uditora $"terna est basada en alg0n estndar internacional o en
alg0n documento de me'ores prcticas. $ste servicio consiste en la revisin
del cumplimiento de los parmetros especificados por estos documentos con
una metodologa adecuada antes de la auditora, lo #ue permite detectar las
faltas de cumplimiento y recomendar la forma ms eficiente de corregirlas,
adems de adecuar el resto de los factores a auditar como la documentacin
y el conocimiento de los procedimientos por parte del personal.
La aplicacin total o parcial de los Servicios de $valuacin de la Seguridad
Informtica traer como consecuencia una serie de recomendaciones, las
cuales no deben ser implementadas de cual#uier manera sino de acuerdo a
un plan estrat!gico #ue minimice los riesgos a niveles aceptables, contenga
de forma inmediata los problemas ms urgentes y crticos y aprovec1e al
m"imo los recursos e"istentes para mantener una ecuacin econmica
razonable. $sto slo se puede realizar con un plan de <eingeniera acotado
al estado especfico de cada empresa, entendiendo como una de las
consecuencias de la <eingeniera a la disminucin de costos manteniendo o
aumentando las prestaciones.
Desaollo !e "n Plan !e Reingeniea Acota!a8
6iene como ob'etivo llevar el nivel de Seguridad Informtica de la
organizacin a un grado adecuado a la criticidad de las Unidades de egocio
y de los Sistemas #ue la conforman. Partiendo de los resultados de los
diagnsticos, se comienza conteniendo los problemas ms crticos de
manera inmediata. Luego de 1aber asegurado la parte ms crtica de la
Seguridad de los Sistemas, se dise&an e implementan las modificaciones de
la Poltica de Seguridad y los Planes de %ontingencia y %ontinuidad de
egocios. La clave del !"ito de esta solucin est en su mantenimiento y
reevaluacin constante.
Ca&acitaci2n en Seg"i!a! In'o()tica !e to!o el Pesonal8
La capacitacin de todas las capas del personal de una organizacin @desde
la alta gerencia 1asta los empleados de base y pasando por los de
6ecnologa y SistemasA, con cursos adecuados a su forma de interaccin con
los sistemas informticos, es la clave para convertir a las personas de parte
del problema a parte de la solucin de la Seguridad Informtica y lograr una
minimizacin de los riesgos por errores, impericias o desconocimientos.
inguna implementacin de Seguridad Informtica actual funcionar
correctamente sin esta etapa. $sto servicio tiene como ob'etivo el desarrollo
completo del Proyecto de Seguridad Informtica de una organizacin
compuesto por su Poltica de Seguridad y sus Planes de %ontingencia y
%ontinuidad de egocios.
$l servicio est compuesto por los siguientes pasos @en caso de #ue se 1aya
llegado a la <eingeniera por medio de los resultados de algunos de los
servicios e"plicados anteriormente, no es necesario volver a implementarlosA(
>nlisis de riesgos crticos inmediatos y desarrollo de contramedidas de
aplicacin rpida para acotar la problemtica ms urgente.
<e anlisis de <iesgos Informticos 3sicos, 6!cnicos y >dministrativos
con respecto a la Integridad, /isponibilidad y %onfidencialidad de la
Informacin #ue mane'an los Sistemas de la $mpresa.
>nlisis de las Polticas de Seguridad Informticas implementadas o, en
caso de #ue no e"istan de manera formal de las soluciones de Seguridad
$"istentes.
>nlisis de cumplimiento de las normas de Seguridad Informtica #ue
debe cumplir la $mpresa, ya sea #ue provengan de su %asa Gatriz, de
$stndares Internacionales, de >uditoras $"ternas o entidades
reguladoras @por e'emplo( Fanco %entralA.
>nlisis del impacto generado por el personal en la variacin de los
niveles de Seguridad.
>nlisis de los Planes de %ontingencia y %ontinuidad de egocios
e"istentes.
/esarrollo de un Plan de <eingeniera >cotada para llevar el nivel de
Seguridad Informtica de la empresa a un valor adecuado a la criticidad
de las Unidades de egocio y los Sistemas #ue la conforman.
Implementacin de la <eingeniera de la Poltica de Seguridad.
Implementacin de la <eingeniera de los Planes de %ontingencia y
%ontinuidad de egocios.
%apacitacin al personal.
Implementacin de un sistema de %ontrol por oposicin de la Seguridad
Informtica de la organizacin.
$ste servicio tiene como ob'etivo, una vez realizada la reingeniera de la
seguridad informtica de la empresa, proveer un control peridico de los
distintos componentes tecnolgicos y procedimientos especficos #ue ante
cambios propios del negocio puedan causar desviaciones o amenazas a la
seguridad informtica.
Ni0eles !e ta.a/o
%onfidencialidad
Integridad
>utenticidad
o <epudio
/isponibilidad de los recursos y de la informacin
%onsistencia
%ontrol de >cceso
>uditora
Con'i!enciali!a!
%onsiste en proteger la informacin contra la lectura no autorizada
e"plcitamente. Incluye no slo la proteccin de la informacin en su
totalidad, sino tambi!n las piezas individuales #ue pueden ser utilizadas para
inferir otros elementos de informacin confidencial.
Integi!a!
$s necesario proteger la informacin contra la modificacin sin el permiso del
due&o. La informacin a ser protegida incluye no slo la #ue est
almacenada directamente en los sistemas de cmputo sino #ue tambi!n se
deben considerar elementos menos obvios como respaldos, documentacin,
registros de contabilidad del sistema, trnsito en una red, etc. $sto
comprende cual#uier tipo de modificaciones(
%ausadas por errores de 1ard:are yJo soft:are.
%ausadas de forma intencional.
%ausadas de forma accidental
%uando se traba'a con una red, se debe comprobar #ue los datos no fueron
modificados durante su transferencia.
A"tentici!a!
$n cuanto a telecomunicaciones se refiere, la autenticidad garantiza #ue
#uien dice ser HMH es realmente HMH. $s decir, se deben implementar
mecanismos para verificar #ui!n est enviando la informacin.
No D e&"!io
i el origen ni el destino en un mensa'e deben poder negar la transmisin.
7uien enva el mensa'e puede probar #ue, en efecto, el mensa'e fue enviado
y viceversa.
Dis&oni.ili!a! !e los ec"sos 4 !e la in'o(aci2n
/e nada sirve la informacin si se encuentra intacta en el sistema pero los
usuarios no pueden acceder a ella. Por tanto, se deben proteger los servicios
de cmputo de manera #ue no se degraden o de'en de estar disponibles a
los usuarios de forma no autorizada. La disponibilidad tambi!n se entiende
como la capacidad de un sistema para recuperarse rpidamente en caso de
alg0n problema.
Consistencia
Se trata de asegurar #ue el sistema siempre se comporte de la forma
esperada, de tal manera #ue los usuarios no encuentren variantes
inesperadas.
Contol !e acceso a los ec"sos
%onsiste en controlar #ui!n utiliza el sistema o cual#uiera de los recursos
#ue ofrece y cmo lo 1ace.
A"!itoa
%onsiste en contar con los mecanismos para poder determinar #u! es lo #ue
sucede en el sistema, #u! es lo #ue 1ace cada uno de los usuarios y los
tiempos y fec1as de dic1as acciones.
$n cuanto a los dos 0ltimos puntos resulta de e"trema importancia, cuando
se trata de los derec1os de los usuarios, diferenciar entre KespiarL y
KmonitorearL a los mismos. La !tica es algo #ue todo buen administrador
debe conocer y poseer.
3inalmente, todos estos servicios de seguridad deben ser tomados en cuenta
en el momento de elaborar las polticas y procedimientos de una
organizacin para evitar pasar por alto cuestiones importantes como las #ue
se&alan dic1os servicios. /e esta manera, es posible sentar de forma
concreta y clara los derec1os y lmites de usuarios y administradores. Sin
embargo antes de realizar cual#uier accin para lograr garantizar estos
servicios, es necesario asegurarnos de #ue los usuarios conozcan sus
derec1os y obligaciones @es decir, las polticasA, de tal forma #ue no se
sientan agredidos por los procedimientos organizacionales.
Ela.oaci2n !e "n es1"e(a !e seg"i!a!
> pesar de #ue se le 1a dado ms importancia al milenio de lo #ue debera,
la preocupacin por los siniestros causados por la tecnologa N*O cre la
necesidad de adoptar planes de contingencia. >un#ue los siniestros pueden
suceder cual#uier da del milenio, es esencial contar con un plan de
contingencia #ue 1aga parte esencial de una efectiva estrategia de seguridad
para el departamento de 6I.
-ene'icios !e "n &lan !e contingencia &aa la seg"i!a!
Las venta'as de crear y contar con un plan de contingencia abarcan lo
tangible e intangible as(
<educcin de los costos por per'uicios si ocurre un siniestro.
Las primas de seguro de ba'o costo.
Gayor comunicacin y me'ores relaciones entre los departamentos.
Una mayor conciencia entre el personal de seguridad sobre la
importancia de la seguridad y el valor de la propiedad #ue se est
protegiendo.
Eta&as cla0e en la ela.oaci2n !e &lanes !e contingencia
Las partes involucradas en el desarrollo de un plan de contingencia deben
saber escuc1ar y comunicarse. >un#ue e"isten algunas etapas importantes
de desarrollo, mantener un buen plan significa repetir continuamente estas
etapas, volver a evaluar el plan y revisarlo.
). Dete(inaci2n !el o./eti0o8 $l punto de partida para el desarrollo de un
plan de contingencia es determinar un ob'etivo claro. $l departamento de 6I y
los funcionarios de nivel e'ecutivo deben identificar el ob'etivo operativo en
caso de una emergencia en materia de seguridad. Por e'emplo, determinar si
el ob'etivo es proteger cierta informacin y bienes, es mantener operaciones
comerciales o brindar un e"celente servicio al cliente. $l ob'etivo ayudar al
departamento de 6I a definir un plan estrat!gico de accin y determinar los
recursos #ue se deben proteger primero.
*. Reali9aci2n !e "n in0entaio co(&leto8 Se deben identificar las principales
1erramientas de 6I, los recursos y las tareas necesarias para realizar
negocios y atender las funciones crticas establecidas en el ob'etivo de la
elaboracin de planes de contingencia. $l inventario debe incluir recursos
au"iliares como suministros de energa y recursos de respaldo.
+. An)lisis !e iesgos8 $val0e los per'uicios financieros, t!cnicos 'urdicos y
operativos totales #ue pudieran ocurrir como resultado de una brec1a del
sistema de seguridad. $l riesgo abarcara per'uicios potenciales a los clientes
y compa&as. 6ambi!n analice amenazas a la seguridad y los per'uicios #ue
potencialmente podran ocasionar a varios departamentos y operaciones. $l
soft:are de administracin de riesgos a la seguridad puede ayudar al
personal de 6I a evaluar el impacto de las amenazas a la seguridad de la
compa&a.
,. Desaollo !e "n &lan !e acci2n8 <epase los escenarios detallados de H#u!
pasara si...H #ue implican diferentes amenazas a la seguridad y los efectos
posibles en las operaciones. Para cada escenario potencial de disminucin
de riesgos, tenga en cuenta a las personas involucradas, sus
responsabilidades, las consideraciones presupuestales, etc.
-. Pe0ea "n EPlan -E8 >un#ue los me'ores planes de contingencia encuentran
problemas t!cnicos, trate de anticiparse a estos problemas y crear
soluciones alternas.
.. Planeaci2n !e las co("nicaciones 4 co(&as8 Los me'ores planes son
efectivos solo si los empleados tienen en cuenta su importancia y entienden
sus mensa'es y procesos. Los departamentos de recursos 1umanos, de
aspectos 'urdicos y finanzas deben revisar y responder a los planes de
contingencia de seguridad en cada etapa de desarrollo.
Es&eci'icaciones !el &lan !e acci2n
Los planes de contingencia variarn dependiendo del tipo especfico de
brec1as del sistema de seguridad, como el ata#ue de virus #ue podra
afectar las operaciones de la compa&a de manera diferente a como lo 1ara
una negacin de servicio.
/ebido al rango de amenazas a la seguridad, los planes de contingencia
deben ser adaptables. Sin embargo, todos los planes efectivos deben
responder por lo siguiente(
P%!i!a !e la in'o(aci2n8 $ventualmente las fallas en el fluido
el!ctrico, los virus, los 1ac8ers u otras fuerzas per'udicarn la informacin
importante de una compa&a o la 1ar inaccesible. Preprese para lo
inevitable 1aciendo copias de seguridad del sistema y de la informacin.
> fin de garantizar #ue se realicen copias de seguridad peridicamente,
desarrolle una poltica de seguridad #ue establezca claramente lo
siguiente(
o Los medios #ue utilizar el personal de 6I para 1acer las copias de
seguridad.
o 7ui!n realizar las copias de seguridad.
o %on #u! frecuencia se realizarn las copias de seguridad.
o Los sitios de almacenamiento dentro y fuera del local destinados
para las copias de seguridad de la informacin.
Los servicios de copia de seguridad en lnea se estn volviendo ms
comunes. Sin embargo, el personal de 6I debe investigar
e"1austivamente las 1erramientas de seguridad de la compa&a para el
almacenamiento y la confiabilidad de las computadoras.
Res&al!o !el Ba!7ae8 > las compa&as con computadoras y
servidores propios les gustara contar con e#uipos de respaldo HrpidoH,
#ue est!n disponibles en caso #ue el servidor principal se da&e. Si el
servicio al cliente es la prioridad de la compa&a, es sensato tener
e#uipos de respaldo. Las compa&as con diferentes ob'etivos e intereses
podran redistribuir los fondos para destinarlos a e#uipos de respaldo del
1ard:are a fin de proteger otras prioridades operativas.
S"(inistos !e enega !e ese0a8 Una falla en la energa puede da&ar
la informacin y afectar la capacidad de la compa&a para prestar los
servicios. Una fuente de energa ininterrumpida o UPS es un componente
indispensable de todo plan de contingencia. >lgunos modelos de UPS
pueden suministrar proteccin contra los picos y fluctuaciones de
corriente y la capacidad para calcular automticamente las necesidades
de energa del personal de 6I. Los costos de las UPS varan dependiendo
del Htiempo de e'ecucinH del modelo o del tiempo de energa disponible.
Po0ee!oes !el se0icio 4 socios co(eciales8 La seguridad debe ser
un aspecto clave #ue debe ser considerado por todo proveedor de
servicio o estar estipulado en el contrato del socio comercial,
especialmente cuando las partes involucradas son parte de una PP o
una cadena de suministros en red. $l personal de 6I debe estipular #ue
todos los socios tienen las mismas 1erramientas de seguridad. $l control
de la seguridad debe ser un componente de las negociaciones de un
contrato. %omo parte de un plan de contingencia, el personal de 6I debe
evaluar las formas en #ue la red es vulnerable a las brec1as de seguridad
de la red de un socio.
Rec"sos !e TI8 $n el caso de detectar una brec1a de seguridad, el
personal de 6I podra necesitar personal adicional. $stablezca relaciones
con una agencia temporal de personal antes #ue ocurra una emergencia.
$l personal de 6I tambi!n debe identificar a los consultores e"pertos de
cuya e"periencia se puedan beneficiar. 6ambi!n puede ser sensato
negociar contratos de asistencia con los distribuidores antes #ue ocurra
una crisis en la seguridad.
Pensa8 $l personal de 6I debe traba'ar con el departamento de
relaciones p0blicas a fin de desarrollar una estrategia #ue solucione las
brec1as de seguridad. /ebe especificarse detalladamente en un plan de
contingencia la cantidad de informacin #ue debe revelarse @en caso de
#ue se deba revelarA y #ui!n debe comunicar esta informacin. Los
planes tambi!n deben 1acer asignaciones presupuestales para los costos
adicionales del departamento de relaciones p0blicas. $val0e si es
necesario establecer relaciones con una agencia de relaciones p0blicas
#ue tenga e"periencia en comunicar informacin relacionada con alta
tecnologa.
A&o.aci2n !e 'on!os8 Las situaciones de emergencia re#uieren gastos
#ue no estn contemplados en el presupuesto. Las partes responsables
de elaborar un plan de contingencia deben revisar los estatutos de
constitucin y el reglamento de la compa&a para determinar #uien puede
declarar cuando una situacin es una emergencia y #uien tiene autoridad
para asignar los recursos de emergencias. $n situaciones de emergencia
se debe establecer un proceso de rpida asignacin de fondos para las
emergencias con el fin de evitar procesos demorados de solicitud y
aprobacin.
Ceaci2n !e "n !oc"(ento 4 e1"i&o !e es&"estas a inci!entes
$l documento de respuesta a incidentes e"plica de manera resumida el
Himperio de la leyH para los procedimientos de emergencia y trata los
siguientes aspectos(
#$"i%n e&ota a 1"i%n,
#$"i%n es es&onsa.le !e 1"%,
#En 1"% cic"nstancias !e.ea s"s&en!ese "n se0icio !e coeo
elect2nico o "n se0i!o !e Intenet,
#C")les son los &oce!i(ientos &aa la co("nicaci2n 4 aleta !e
e(egencias,
Un e#uipo de respuesta a incidentes realiza muc1as de las acciones
e"plicadas en el documento de respuesta a incidentes. $ste e#uipo tiene
papeles asignados previamente. $n caso de identificar una brec1a de
seguridad, los integrantes del e#uipo estn familiarizados con sus
responsabilidades. Los siguientes son los aspectos clave #ue se deben tener
en cuenta cuando se conforma un e#uipo de respuestas a incidentes(
#Est)n e&esenta!os los integantes !e los !i'eentes
!e&ata(entos,
#En 1"% con!iciones act"aan los integantes !el e1"i&o,
#C")l es la ca!ena !e (an!o,
#$"% ga!o !e a"tono(a tienen los integantes &aa la to(a !e
!ecisiones,
Me!i!as !e seg"i!a! Los planes de contingencia no son 0nicamente
estrat!gicos. Gientras #ue los planes solucionan principalmente escenarios
1ipot!ticos, tambi!n necesitan #ue el personal de 6I tome algunas medidas
en tiempo real.
Seg"o8 $n caso de una brec1a de seguridad, el seguro cibern!tico puede
ayudar a cubrir los costos debido a la p!rdida de informacin, interrupcin de
las empresas, gastos en relaciones p0blicas, demandas de terceros como
consecuencia de la negligencia en seguridad, etc. Las primas de seguro
varan dependiendo del tama&o y naturaleza de los negocios en lnea de la
compa&a. Las compa&as de seguros casi siempre realizan auditorias de
seguridad antes de dar cubrimiento a los solicitantes. Los planes de
contingencia pueden ayudar a disminuir los costos de las primas de seguro.
A&licaciones !e la seg"i!a!8 Los antivirus, la deteccin de intrusos y el
soft:are para el filtrado de contenidos de Internet y del correo electrnico
pueden ayudar a proteger la red contra una variedad de amenazas a la
seguridad como las siguientes(
o >ta#ues de piratas
o >ta#ues de virus
o egacin de servicio
o Intrusin de cdigos mviles maliciosos
o 3ugas de informacin confidencial
o %orreo electrnico y contenidos calumniosos de los sitios :eb
Planes !e contingencia es&ec'icos
6odas las etapas de anlisis e implementacin de un plan de contingencia
deben respaldar el ob'etivo del plan. /ebido a la variedad de brec1as de
seguridad, los planes de contingencia debern ser adaptados a los diferentes
escenarios. Sin embargo, el personal de 6I debe planear algunas constantes
como el suministro de energa, los respaldos de la informacin, los recursos
adicionales del personal de 6I, etc. Los costos para el desarrollo e
implementacin de un plan de contingencia completo pueden ser
significativos, aun#ue siempre sern mayores los costos de tiempo de
inactividad de la compa&a y detrimento a la reputacin debido a las brec1as
de seguridad.