NUEVOS RIESGOS, MEJORES CONTROLES En un mundo globalizado, tecnificado y conectado, el efectivo manejo de la informacin es un elemento clave para el xito

y la supervivencia de las organizaciones; la seguridad de la informacin es un factor preponderante para un efectivo manejo de la funcin gerencial, particularmente con el actual contexto de una creciente utilizacin de sistemas de informacin, que cursan parte de sus transacciones por medio de redes de acceso pblico como la Internet, extendiendo as las operaciones ms all de las fronteras de las propias organizaciones. El alcance global de estos sistemas hace aumentar la cantidad de los puntos de acceso a los sistemas de computacin; la actividad econmica por medio de transacciones cursadas a travs de la Internet u otras redes pblicas crean nuevos riesgos. Todos estos nuevos escenarios introducen mayores riesgos que atentan contra la seguridad y acentan la necesidad de desarrollar sistemas y procedimientos seguros para operar en un ambiente con escasas posibilidades de controles globales. POLTICA DE SEGURIDAD Las decisiones que se tomen con relacin a la materia, determinan qu tan segura o insegura es la estructura informtica de la organizacin, qu funcionalidad ofrece los procesos y qu tan fciles de utilizar son los sistemas y la tecnologa empleada. Sin embargo, no se pueden tomar buenas decisiones sobre seguridad sin primero determinar cules son los objetivos que se quieren alcanzar en la materia. Hasta que se determinen cules son los objetivos de seguridad, no se puede hacer un uso efectivo de algn conjunto de herramientas de seguridad, simplemente porque uno no conoce qu controlar y qu restricciones imponer. Por ejemplo, los objetivos de control de la seguridad de un vendedor de productos sern muy diferentes a los de una organizacin financiera. Una empresa productora seguramente realizar de la forma ms simple posible la configuracin de sus procesos, algunas veces puede implicar configuraciones por defecto (default) de sus valores de seguridad para que todo est lo ms accesible que sea posible (v.g. inseguro). Muchas veces los objetivos de control de la seguridad estarn determinados por un balance de distintos factores claves: Servicios ofrecidos vs. Seguridad provista: Cada servicio ofrecido a los usuarios posee su propio riesgo de seguridad; para algunos servicios los riesgos son ms importantes que el beneficio del servicio ofrecido y en estos casos, hasta se podra elegir desactivarlos, en lugar de brindarle un esquema de mayor seguridad.

Fcil de utilizar vs. Seguridad: Un sistema muy fcil de usar podra permitir el acceso a cualquier usuario sin tener que requerirle una clave de seguridad en todos los casos, por lo que podra no ser del todo seguro. El requerir claves de seguridad en los sistemas pueden hacerlos menos convenientes, pero si ms seguros; colocarles dispositivos especficos para habilitar su utilizacin los transformara mucho ms dificultosos de usar, pero mucho ms seguros.

Costo de la seguridad vs. El riesgo de la prdida: Existen muchas clases de costos para la seguridad: costos econmicos por la adquisicin de dispositivos, hardware, software, Firewall, etc.; costos de rendimiento (performance), como ser el tiempo del cifrado y el descifrado de mensajes (encripcin), etc. Tambin existen muchos niveles de riesgos: prdida de privacidad, prdida de datos, corrupcin de la informacin, prdida de servicio; cada uno de estos posee un mayor grado de importancia con respecto al otro.

Luego de que se haya realizado un minucioso anlisis y tomado las decisiones correctas, los objetivos deberan ser comunicados a toda la comunidad de usuarios de los sistemas de informacin, ya si se traten de los internos de la organizacin u externos a los que se le brinden servicios, por medio de un conjunto de reglas bien definidas, a las que podemos denominar Poltica de Seguridad. Es ms adecuado la utilizacin de este trmino que el de Poltica de Seguridad Informtica, ya que la primera debera incluir todos los tipos de tecnologas de la informacin, y los datos almacenados y manejados por dichas tecnologas. DEFINICIN Y PROPSITO DE LA POLTICA DE SEGURIDAD Una Poltica de Seguridad debera ser un documento formal que contenga las reglas a las cuales debern atenerse las personas que estn teniendo acceso a la tecnologa e informacin de una organizacin. El propsito principal de una Poltica de Seguridad es el informar a los usuarios de la obligatoriedad de cumplir con los requisitos de proteger los activos de tecnologa e informacin. Esta debera especificar los mecanismos y procedimientos por los cuales requerimientos son alcanzados; otro propsito sera el tomarla como base para la adquisicin, la configuracin y el desarrollo de los sistemas, como tambin para auditar el cumplimento de la misma en todos los procesos, sistemas y redes informticas utilizadas. QUIN DEBERA ESTAR INVOLUCRADO EN LA REALIZACIN DE LA POLTICA DE SEGURIDAD Para que la Poltica de Seguridad sea apropiada y efectiva, es necesario que tenga la aceptacin y el apoyo de todos los niveles dentro de la organizacin. Esto es verdaderamente importante, pues la poltica deber tener aplicacin en todos

los procesos de la organizacin; de no ser as, tendr muy poca oportunidad de alcanzar el impacto deseado. La siguiente es una lista mnima del personal que deberan formar parte y estar involucrado en la creacin y revisin del documento que constituir finalmente la Poltica de Seguridad de toda la organizacin: Directivos y/o representantes de los accionistas de la organizacin. Administrador de la seguridad. El staff de las reas de tecnologa. Representantes de la comunidad usuaria. Gerentes de las distintas reas. Auditora Interna. Asesor legal.

Esta lista es solamente para establecer los participantes que mnimamente debern formar parte, pero no necesariamente representa a la totalidad de participantes que puedan estar incluidos para los distintos tipos de organizaciones. Lo fundamental es que a mayor representatividad de todas los sectores de la organizacin, mayor ser el grado de aceptacin que la Poltica tenga, y por ende mayor su efectividad. PRINCIPALES COMPONENTES DE UNA POLTICA DE SEGURIDAD Los componentes mnimos con que deber contar una adecuada Poltica de Seguridad, incluyen: Pautas para la adquisicin de tecnologa informtica, que indiquen las preferencias o dispositivos relacionados con la seguridad que deben poseer. Criterios de privacidad que definan razonablemente el alcance de las actividades de monitoreo (revisin) del correo electrnico, control del acceso de los usuarios, etc. Normas de acceso, que especifiquen los privilegios y derechos de accesos; para proteger los activos de informacin de la prdida o su divulgacin. Debera proveer pautas bsicas sobre las conexiones externas, comunicacin de datos, conexin de dispositivos a redes pblicas o a Internet, la adicin de nuevos sistemas, etc. Niveles de responsabilidad, que definan las misiones y las funciones de los usuarios, el staff o la gerencia en las revisiones de auditorias, donde se determine las acciones a seguir y las notificaciones pertinentes en el caso de deteccin de intromisiones no deseadas. Pautas de autenticacin, que definan los mecanismos a utilizar para la identificacin y validacin de los usuarios.

Normas de disponibilidad, que estipulen las expectativas de los usuarios para la disponibilidad de los recursos. Aqu deberan enunciarse en forma general los requerimientos de continuidad operativa, como as tambin los tiempos mximos tolerados de no operacin. Pautas sobre el reporte de violaciones, que indiquen las acciones a tomar para cada una de las violaciones detectadas a cuestiones de privacidad, confidencialidad, etc., ya sean de fuentes internas o externas. Pautas sobre la provisin de informacin, que especifiquen los canales a seguir y el tipo de informacin que se podr proveer en caso que agentes externos hagan solicitud de ella.

CONCLUSIN La Seguridad de la Informacin es un tema especialmente importante que va en aumento, con el incremento de la tecnificacin, la diversidad de las redes de computacin, la explotacin de los servicios ms variados por la Internet, el advenimiento del comercio electrnico y el mayor nmero de negocios que dependen de la informacin para sus operaciones diarias, hacen que el contar con una adecuada Poltica de Seguridad sea un requerimiento infaltable para la salud de la organizacin.

Los puntos de vista y opiniones son de los autores y no necesariamente representan los puntos de vista de las organizaciones a las cuales pertenecen. La informacin provista aqu es de naturaleza general y de carcter informativo.
Marcelo Hctor Gonzlez, ASS, CISA. mhgonzalez@movi.com.ar Vice Presidente Asociacin de Auditora y Control de Sistemas de Informacin. ADACSI ISACA Chapter Buenos Aires. Inspector General de Auditora Externa de Sistemas de Entidades Financieras. Superintendencia de Entidades Financieras y Cambiarias. Banco Central de la Repblica Argentina.