Retos de la seguridad Informtica La eficaz unificacin de los aspectos de la seguridad informtica en el mbito delas organizaciones sociales centroamericanas enfrenta

algunos retos muy comunes que estn relacionados con el funcionamiento y las caractersticas de estas. Los temas transversales no reciben la atencin que merecen y muchas veces quedan completamente fuera de las consideraciones organizativas: Para todas las organizaciones y empresas, la propia Seguridad Informtica no es un fin, sino un tema transversal que normalmente forma parte de la estructura interna de apoyo. Nadie vive o trabaja para su seguridad, sino la implementa para cumplir sus objetivos. Carencia o mal manejo de tiempo y dinero: Implementar medidas de proteccin significa invertir en recursos como tiempo y dinero. El proceso de monitoreo y evaluacin, para dar seguimiento a los planes operativos est deficiente y no integrado en estos: Implementar procesos y medidas de proteccin, para garantizar la seguridad, no es una cosa que se hace una vez y despus se olvide, sino requiere un control continuo de cumplimiento, funcionalidad y una adaptacin peridica, de las medidas de proteccin implementadas, al entorno cambiante.

Todas estas circunstancias juntas, terminan en la triste realidad, que la seguridad en general y la Seguridad Informtica en particular no recibe la atencin adecuada. El error ms comn que se comete es que no se implementa medidas de proteccin, hasta que despus del desastre, y las escusas o razones del porque no se hizo/hace nada al respecto abundan. Motivaciones para implementar mecanismos de seguridad. Qu son las polticas de seguridad informtica (PSI)?

Una poltica de seguridad informtica es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuacin del personal, en relacin con los recursos y servicios informticos, importantes de la organizacin. No se trata de una descripcin tcnica de mecanismos de seguridad, ni de una expresin legal que involucre sanciones a conductas de los empleados. Es ms bien una descripcin de los que deseamos proteger y el por qu de ello. Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informticos crticos de la compaa. Elementos de una poltica de seguridad informtica. Como mencionbamos en el apartado anterior, una PSI debe orientar las decisiones que se toman en relacin con la seguridad. Por tanto, requiere de una disposicin por parte de cada uno de los miembros de la empresa para lograr una visin conjunta de lo que se considera importante. Las PSI deben considerar entre otros, los siguientes elementos: Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitacin de la organizacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Invitacin que debe concluir en una posicin. Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin. Responsabilidades por cada uno de los servicios y recursos informticos a todos los niveles de la organizacin. Requerimientos mnimos para configuracin de la seguridad de los sistemas que cobija el alcance de la poltica. Definicin de violaciones y de las consecuencias del no cumplimiento de la poltica. Responsabilidades de los usuarios con respecto a la informacin a la que ella tiene acceso

Parmetros para establecer polticas de seguridad. Si bien las caractersticas de la PSI que hemos mencionado hasta el momento, nos muestran una perspectiva de las implicaciones en la formulacin de estas directrices, revisaremos a continuacin, algunos aspectos generales recomendados para la formulacin de las mismas.

Considere efectuar un ejercicio de anlisis de riesgos informtico, a travs del cual valore sus activos, el cual le permitir afinar las PSI de su organizacin. Involucre a las reas propietarias de los recursos o servicios, pues ellos poseen la experiencia y son fuente principal para establecer el alcance y las definiciones de violaciones a la PSI. Comunique a todo el personal involucrado en el desarrollo de las PSI, los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. Recuerde que es necesario identificar quin tiene la autoridad para tomar decisiones, pues son ellos los responsables de salvaguardar los activos crticos de la funcionalidad de su rea u organizacin. Desarrolle un proceso de monitoreo peridico de las directrices en el hacer de la organizacin, que permita una actualizacin oportuna de las mismas.

Un ltimo consejo: no d por hecho algo que es obvio. Haga explcito y concreto los alcances y propuestas de seguridad, con el propsito de evitar sorpresas y malos entendidos en el momento de establecer los mecanismos de seguridad que respondan a las PSI trazadas. Cmo implementar una poltica de seguridad Generalmente, la seguridad de los sistemas informticos se concentra en garantizar el derecho a acceder a datos y recursos del sistema configurando los mecanismos de autentificacin y control que aseguran que los usuarios de estos recursos slo posean los derechos que se les han otorgado. Por qu son necesarios los mecanismos de seguridad? Se han elegido tres casos genricos que se describen a continuacin. Con ellos se pretende mostrar alguno de los peligros, relativos a seguridad, de estar interconectados. Para cada uno de ellos existen mecanismos de seguridad que permiten llevar a cabo las operaciones de manera satisfactoria. Intercambio de informacin Cuando se intercambia informacin con un ordenador remoto, esa informacin circula por una serie de sistemas intermedios que son desconocidos a priori (excepto en mbitos muy especficos). Adems, no slo no se sabe cules sern estos sistemas intermedios, sino que adems no se dispone de ningn control sobre ellos o sobre lo que puedan hacer con nuestros datos al pasar por ellos.

Quiz el propietario original es de fiar pero su sistema ha sido comprometido por un atacante que toma posesin de los datos enviados. Instalacin de software daino involuntariamente Otra posibilidad que no se debe descartar es que se instale software en un ordenador sin conocimiento del usuario o administrador. Esto puede ocurrir de muchas formas, algunas relacionadas con operaciones que se realizan todos los das. Algunos ejemplos son: Introduccin de virus o troyanos por la descarga y ejecucin de ficheros en servidores, en principio, confiables, por parte del usuario. El efecto de distribucin puede ser, incluso, involuntario si se hace uso de sistemas de archivos compartidos. En el caso de los virus el efecto destructivo se har patente ms pronto o ms tarde. La instalacin de troyanos puede, sin embargo, pasar desapercibida. Difusin de virus por correo electrnico. Lograda gracias a la malversacin por parte del virus del programa utilizado como lector de correo (que lo ejecuta automticamente sin intervencin del usuario) o porque el usuario activa el virus inadvertidamente creyendo que se trata de otra cosa. Su efecto pernicioso es, adems del destructivo habitual de un virus, la distribucin a las direcciones conocidas convirtiendo su propagacin en exponencial.

Proteccin ante accesos no autorizados Cuando se ofrecen servicios o informacin en una red para sus usuarios legtimos, al mismo tiempo se abre la puerta a posibles intrusos en estos sistemas. Protegerse de esta posibilidad implica tener un especial cuidado con todo el software empleado, desde el sistema operativo hasta la ltima de las aplicaciones instalada, y cuidar en gran medida su configuracin. Fallos de seguridad en la utilizacin del software Se puede hacer un anlisis agrupando los fallos de seguridad que se pueden dar en el software. Este anlisis va a permitir enfocar, ms adelante cmo distintos tipos de software ayudan a solventarlos. De una forma simplista, se pueden dividir en tres bloques: Fallos debidos a errores desconocidos en el software, o conocidos slo por terceras entidades hostiles. Fallos debidos a errores conocidos pero no arreglados en la copia en uso del software.

Fallos debidos a una mala configuracin del software, que introduce vulnerabilidades en el sistema