Introducción Seguridad, ¿de qué estamos hablando?

Durante una feria a la que el CEO de una importante compañía de desarrollo de Software asistió para dar
una conferencia, con el ánimo de ser lo más gráfico posible, hizo una comparación entre los logros de su
compañía y los de la industria del automóvil. Y se le ocurrió la siguiente frase:
“Si la General Motors se hubiera desarrollado como la industria de la computación en los últimos diez
años, ahora podríamos conducir automóviles que correrían a 160.000 Km/h, pesarían menos de 14
kilogramos y recorrerían una distancia de 1.000 kilómetros con un solo litro de gasolina. Además, su
precio sería de 25 dólares”.
La respuesta de General Motors: “Puede que tenga razón, pero si la industria del automóvil hubiera
seguido la evolución de la computación hoy tendríamos automóviles con las siguientes características:
Su automóvil tendría dos accidentes cada día, sin que usted pudiera explicarse la causa.
Ocasionalmente, su auto se pararía en medio de una autopista sin ninguna razón. Debería aceptarlo con
resignación, volver a arrancar y seguir conduciendo esperando que no vuelva a ocurrir (y, por supuesto,
no tendría ninguna garantía de ello).
En ocasiones, su auto se pararía y no podría volver a arrancarlo. Este hecho podría producirse al intentar
realizar una maniobra (como girar a la izquierda). La solución será reinstalar de nuevo el motor.
Extrañamente, también aceptaría tal hecho resignado.
Siempre que se presentase un nuevo vehículo, los conductores deberían volver a aprender a conducir
porque nada funcionaría igual que en el modelo anterior.
Además, las puertas de su vehículo se bloquearían frecuentemente sin razón aparente. Sin embargo,
podría volverlas a abrir utilizando algún truco como accionar el cambio al mismo tiempo que con una
mano gira la llave de contacto y con la otra agarra la antena de la radio.
Estamos acostumbrados a manejarnos en la seguridad de la sociedad “física”
 No abras la puerta a nadie
 Deja el auto con la alarma conectada
 Ten cuidado al cruzar
 No vuelvas tarde, que ese barrio por la noche no es seguro
 No te dejes la cartera a la vista
 Etc.
Sin embargo en la Sociedad de la Información estamos más perdidos
 ¿Cómo cierro la puerta de mi computador?
 ¿De dónde saco una alarma por si alguien entra en mi equipo?
 ¿Cómo se hace para que mi equipo no se cuelgue?
 ¿Cómo me entero de qué zonas de la Web no son seguras?
 ¿Tengo que guardar en cajones: papeles, CDRoms, etc.?
 Etc.
Símil con la conducción
Para estar seguro no basta un buen motor. Todo debe estar razonablemente bien
 Sistema eléctrico, batería, alternador
 Refrigeración, bomba de agua, radiador
 Amortiguadores y neumáticos
 Frenos
 Etc.
Pero también
 Seguro
 Permiso de circulación (brevete)
 Inspección Técnica de Vehículos
 Impuesto vehicular
 Etc.
La información se ha convertido en un activo, de gran importancia para la empresa:
 Administración
 Utilización
 Integridad
 Continuidad del Negocio
Propiedad, acceso y clasificación de la información
 El activo información es propiedad de la empresa
 La autorización de acceso a cualquier información estará determinada por la necesidad de utilización
de la misma acorde con las distintas funciones operativas.
 Deberá quedar prohibido el acceso a cualquier información sin la autorización previa de su
propietario.

Alcance de la seguridad de la información

Un adecuado ambiente de seguridad engloba los siguientes aspectos:
 Cuerpo de políticas, normas, procedimientos y estándares de seguridad de la información.
 Administración de usuarios y recursos de los diferentes sistemas informáticos y de comunicación.
 Seguridad interna de acceso a las aplicaciones.
 Normas y procedimientos de operaciones del centro de cómputos.
 Metodología de desarrollo, mantenimiento y control de cambios.
 Procedimiento de backup y recovery.
 Definición, desarrollo y mantenimiento de un plan de contingencias.
 Seguridad física de accesos, contra incendio y problemas eléctricos de centro de cómputos y lugar de
resguardo de la información.
Responsabilidad de la administración de la seguridad información
 La administración de seguridad de la información deberá actualizar las políticas, normas,
procedimientos y estándares, sobre la base de los cambios estructurales, políticos, técnicos,
funcionales o de procedimientos que se produzcan en la Empresa y que las afecten y la evaluación
continua de los riesgos que atenúen contra la seguridad informática.
 Recursos de los sistemas informáticos como, por ejemplo, sistemas operativos, gestores de base de
datos, utilitarios, transacciones, aplicaciones, etc.
 Información contenida en archivos magnéticos.
 Accesos de los usuarios a los sistemas.
 Comunicación de datos, encriptación.
 El entorno de PC’s o redes locales: Protección de accesos, protecciones antivirus, copias de software
autorizado, backup y recuperación, etc.

Confidencialidad
Será política de la empresa establecer un esquema de seguridad para garantizar que todos sus recursos
informáticos estén protegidos contra uso no autorizado o revelaciones accidentales. La información
deberá ser considerada como privada y restringida. El origen y la función de la misma determinaran su
grado de sensitividad, siendo la de mayor sensitividad aquella que este íntimamente relacionada con la
estrategia del negocio de la empresa.
Disponibilidad
Será política de la empresa que existan previsiones para minimizar las amenazas de interrupción del
negocio y para preservar la continuidad de la operatoria normal. Por lo tanto se garantizara que
información y la capacidad de procesamiento criticas puedan ser resguardadas y recuperadas rápida y
completamente en caso de que ocurra alguna contingencia que interrumpa la operatoria o dañe las
instalaciones, medios de almacenamiento y/o equipamiento.
Integridad y exactitud
Será política de la empresa establecer mecanismos para garantizar que toda la información que maneje se
encuentre libre de errores y/o corrupción de cualquier índole, es decir, que sus cualidades cumplan con las
expectativas fijadas a priori.