La seguridad informtica ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnolgicas disponibles.

La posibilidad de interconecta rse a travs de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar ms all de las fronteras nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas amenazas para los sistemas de informacin. En este sentido, las polticas de seguridad informtica surgen como una herramienta organizacional para concienciar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva, asegurando el buen uso de los recursos informticos y la informacin como activos de una organizacin, mantenindolos libres de peligros, daos o riesgos. La seguridad informtica se puede clasificar en seguridad lgica y seguridad fsica y busca con la ayuda de polticas y controles mantener la seguridad de los recursos y la informacin manejando los riesgos.

PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACIN

INTEGRIDAD: la informacin debe ser protegida de modificaciones no autorizadas. DISPONIBILIDAD: la informacin y servicios deben estar disponibles siempre que se necesiten. CONFIDENCIALIDAD: se debe garantizar que la informacin es conocida nicamente por a quien le interese.

DEFINICIN DE POLTICAS DE SEGURIDAD INFORMTICA

Una poltica de seguridad informtica es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuacin del personal, en relacin con los recursos y servicios informticos de la organizacin. No se puede considerar que una poltica de seguridad informtica es una descripcin tcnica de mecanismos, ni una expresin legal que involucre sanciones a conductas de los empleados, es ms bien una descripcin de los que deseamos proteger y l por qu de ello, pues cada poltica de seguridad es una invitacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Por tal razn, las polticas de seguridad deben concluir en una posicin consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informticos. ELEMENTOS DE UNA POLTICA DE SEGURIDAD INFORMTICA - Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cu al aplica. - Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin. - Responsabilidades por cada uno de los servicios y recursos informticos aplicado a todos los niveles de la organizacin. - Requerimientos mnimos para configuracin de la seguridad de los sistemas que abarca el alcance de la poltica. - Definicin de violaciones y sanciones por no cumplir con las polticas. - Responsabilidades de los usuarios con respecto a la informacin a la que tiene acceso. Las polticas de seguridad informtica, tambin deben ofrecer explicaciones comprensibles

sobre por qu deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, debern establecer las expectativas de la organizacin en relac in con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Otro punto importante, es que las polticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y trminos ambiguos que impidan una comprensin clara de las mismas, claro est sin sacrificar su precisin. Por ltimo, y no menos importante, el que las polticas de seguridad, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotacin de personal, desarrollo de nuevos servicios, regionalizacin de la empresa, cambio o diversificacin del rea de negocios, etc. PARMETROS PARA ESTABLECER POLTICAS DE SEGURIDAD - Efectuar un anlisis de riesgos informticos, para valorar los activos y as adecuar las polticas a la realidad de la empresa. - Reunirse con los departamentos dueos de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las polticas. - Comunicar a todo el personal involucrado sobre el desarrollo de las polticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. - Identificar quin tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos crticos su rea. - Monitorear peridicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las polticas puedan actualizarse oportunamente. - Detallar explcita y concretamente el alcance de las polticas con el propsito de evitar situaciones de tensin al momento de establecer los mecanismos de seguridad que respondan a las polticas trazadas.

RAZONES QUE IMPIDEN LA APLICACIN DE LAS POLTICAS DE SEGURIDAD INFORMTICA

A pesar de que un gran nmero de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el xito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas polticas de seguridad informtica. Otros inconvenientes lo representan los tecnicismos informticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informtica o los especialistas en seguridad, que llevan a los altos directivos a pensamientos como que los recursos que se destinan al Departamento de Sistemas ms que una inversin es u n gasto. Esta situacin ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen informacin sensitiva y por ende su imagen corporativa. An te esta situacin, los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y estn de acuerdo con las decisiones tomadas en relacin con esos asuntos. Si se quiere que las polticas de seguridad sean aceptadas, deben integrarse a las estrategias del negocio , a su misin y visin, con el propsito de que los que toman las

decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compaa. Finalmente, es importante sealar que las polticas por s solas no constituyen una garanta para la seguridad de la organizacin, ellas deben responder a intereses y necesidades organizacionales basadas en la visin de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad informtica factores que facilitan la formalizacin y materializacin de los compromisos adquiridos con la organizacin.

PLAN DE CONTINGENCIA
Es el conjunto de procedimientos alternativos a la operativa normal de cada empresa, cuya finalidad es la de permitir el funcionamiento de sta, an cuando alguna de sus funciones deje de hacerlo por culpa de algn incidente tanto interno como ajeno a la o rganizacin como un fallo en la correcta circulacin de informacin o la falta de provisin de servicios. El hecho de preparar un plan de contingencia no implica un reconocimiento de la ineficiencia en la gestin de la empresa, sino todo lo contrario, supone un importante avance a la hora de superar todas aquellas situaciones descritas con anterioridad y que pueden provocar importantes prdidas, no solo materiales sino aquellas derivadas de la paralizacin del negocio durante un perodo ms o menos largo.

elaboracin de un plan de contingencia

1. EVALUACIN - Constitucin del grupo de desarrollo del plan. Este grupo debe estar liderado por un responsable del plan y formado por los lderes de las reas que se desean cubrir con dicho plan. Su elaboracin ha de desarrollarse con la continua supervisin por parte de la direccin ya que durante la elaboracin y/o ejecucin de ste, debern comprometerse recursos y aprobarse procedimientos especiales que requieran un nivel de autorizacin superior. - Identificacin de las funciones crticas. Esta subfase consiste en identificar aquellos elementos de nuestra empresa o funciones que puedan ser crticos ante cualquier eventualidad o desastre y jerarquizarlos por orden de importancia dentro de la organizacin. - Los que podemos encontrarnos para cada elemento o funcin crtica. Puede tratarse de problemas en el hardware, software de base, de telecomunicaciones, software de aplicacin propio o provisto por terceros, etc. Tambin deben incluirse en esta categora los siniestros provocados por incendios, una utilizacin indebida de medios magnticos de resguardo o back up o cualquier otro dao de origen fsico que pudiera provocar la prdida masiva de informacin. Tambin incluimos en este apartado todos aquellos problemas asociados con la carencia de fuentes de energa y de telecomunicaciones. - Anlisis del impacto del desastre en cada funcin crtica. Consiste en realizar un anlisis del impacto de cada problema sobre cada una de las funciones crticas de la organizacin, teniendo en cuenta las siguientes prioridades: Evitar prdidas de vida. Satisfacer las necesidades bsicas. Reanudar las operaciones lo antes posible. Proteger el medio ambiente. Lograr las conexiones con los principales clientes y proveedores. Mantener la confianza en la empresa.

- Definicin de los niveles mnimos de servicio. Se trata de definir los mnimos niveles de servicio aceptables para cada pro blema que se pueda plantear. Es importante que dicho nivel se consense con cada uno de los responsables de las reas que puedan verse afectadas. - Identificacin de las alternativas de solucin. En esta subfase debern identificarse las soluciones alterna tivas para cada uno de los problemas previsibles. Para ello se puede considerar: Implementar procesos manuales. Contratar las tareas crticas con terceros. Diferir la tarea crtica por un tiempo determinado. Otra medida que permita continuar las operaciones. - Evaluacin de la relacin costo/beneficio de cada alternativa. De cada alternativa identificada en el punto anterior y sobre la base del impacto econmico de cada problema, deber determinarse la mejor solucin desde el punto de vista costo/beneficio para cada proceso crtico y su tiempo de elaboracin con un nivel de servicio que satisfaga el nivel mnimo. 2. PLANIFICACIN - Documentacin del plan de contingencia. Es necesario documentar el plan, cuyo contenido mnimo ser: Objetivo del plan. Modo de ejecucin. Tiempo de duracin. Costes estimados. Recursos necesarios. Evento a partir del cual se pondr en marcha el plan. Personas encargadas de llevar a cabo el plan y sus respectivas responsabilidades. - Validacin del plan de contingencia. Es necesario que el plan sea validado por los responsables de las reas involucradas. De igual manera hay que tener en cuenta las posibles consecuencias jurdicas que pudiesen derivarse de las actuaciones contempladas en l. 3. PRUEBAS DE VIABILIDAD - Definir y documentar las pruebas del plan Es necesario definir las pruebas del plan y el personal y recursos necesarios para su realizacin. Una correcta documentacin ayudar a la hora de realizar las pruebas. - Obtener los recursos necesarios para las pruebas Deben obtenerse los recursos para las pruebas, ya sean recursos fsicos o mano de obra para realizarlas. - Ejecutar las pruebas y documentarlas Consiste en realizar las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos como posibles. La capacitacin del equipo de contingencia y su participacin en pruebas son fundamentales para poner en evidencia posibles carencias del plan. - Actualizar el plan de contingencia de acuerdo a los resultados obtenidos en las pruebas. Ser necesario realimentar el plan de acuerdo a los resultados obtenidos en las pruebas. Hay que tener en cuenta que el plan de contingencia general o de continuidad de

operaciones de la empresa contiene los planes de contingencia especficos para cada problema definido. Los distintos planes deben integrarse en un todo, considerando las posibles relaciones mutuas. 4. EJECUCIN En esta fase hay que tener muy presente que el plan no busca resolver la causa del problema, sino asegurar la continuidad de las tareas crticas de la empresa. 5. RECUPERACIN Los datos afectados por el siniestro que pudiesen haber quedado desactualizados o corruptos, deben corregirse usando los procedimientos ya definidos. Una vez finalizado el plan, es conveniente elaborar un informe final con los resultados de su ejecucin cuyas conclusiones pueden servir para mejorar ste ante futuras nuevas eventualidades.

Participantes en la formulacin del Plan de Contingencia

- Comisiones de trabajo , ubicacin y responsabilidad. Se rene el grupo consultor, lo cual contiene las siguientes personas: Coordinador centro de respaldo. Un supervisor sala de mquina. Operador sala de mquina. Administrador de sistema operativo/base de datos. Encargado de aplicaciones. Analista de integridad de sistema. Una vez reunido dicho grupo planifica todos los puntos a desarrollar, y existe un lder que se encarga de asignar las diferentes tareas que se van a desarrollar en un proyecto. A travs de los Backup, para de esta forma poder subir el sistema en el momento requerido, adiestramiento del personal y tenerlo disponible. Comit Plan de Contingencia Presidente Vice-presidente Tres Ingenieros

- Formacin del equipo. Plan de Contingencia Director del rea de informtica Sub-director de procesamiento electrnicos de datos. Gerente de departamento Gerente de centro de cmputo Gerente de administracin de informacin Gerente de programacin Gerente de Cementacin Auditores internos y externos de informtica Gerente Soporte Tcnico Operadores

Subplanes del Plan de Contingencias

El plan de contingencias comprende tres subplanes. Cada plan determina las contramendias necesarias en cada momento del tiempo respecto a la materializacin de cualquier amenaza: 1. plan de respaldo. Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materializacin. El respaldo puede consistir en alguna combinacin de Redundancia, Diversidad y Movilidad. - Redundancia: se duplica el Hardware, Software y los datos de modo que si la unidad original queda incapacitada la unidad de respaldo puede continuar con el procesamiento. - Diversidad: los recursos de informacin no se instalan todos en el mismo lugar. Las compaas grandes por lo regular establecen centros de computo en lugares diferentes a sus reas de operaciones. - Movilidad: las compaas pequeas celebran convenios con otros usuarios del mismo tipo de equipo para que cada una pueda ofrecer respaldo a la otra en caso de ocurrir una catstrofe. Las compaas grandes pueden lograr movilidad c ontratando un servicio de respaldo en Sitios Activos o Sitios Inactivos. Un Sitio Activo es una instalacin de cmputo completa que un proveedor pone a disposicin de sus clientes para que la usen en caso de haber una emergencia. Un Sitio Inactivo a menudo llamado Cascaron Vaco es construido por la compaa en un lugar separado de las instalaciones de computo normales e incluyen solo los edificios pero no los equipos de computo. 2. plan de emergencia. Contempla las contramedidas necesarias durante la materializacin de una amenaza, o inmediatamente despus. Su finalidad es paliar los efectos adversos de la amenaza. Este plan deber incluir la participacin y actividades a realizar por todas y cada una de las personas que se pueden encontrar presentes en el rea donde ocurre el siniestro, debiendo detallar: - Vas de salida o escape. - Plan de Evacuacin del Personal. - Plan de puesta a buen recaudo de los activos (incluyendo los activos de Informacin) de la Institucin (si las circunstancias del siniestro lo posibilitan) - Ubicacin y sealizacin de los elementos contra el siniestro (extinguidores, cobertores contra agua, etc.) - Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de iluminacin (linternas), lista de telfonos de Bomberos / Ambulancia, Jefatura de Seguridad y de su personal (equipos de seguridad) nombrados para estos casos. 3. Plan de recuperacin. Contempla las medidas necesarias despus de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materializacin de la amenaza. Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la origin y el dao producido, lo que permitir recuperar en el menor tiempo posible el proceso perdido. Los procedimientos debern ser de ejecucin obligatoria y bajo la responsabilidad de los encargados de la realizacin de los mismos, debiendo haber procesos de verificacin de su

cumplimiento. En estos procedimientos estar involucrado todo el personal de la Institucin. Los procedimientos de planes de recuperacin de desastres deben de emanar de la mxima autoridad Institucional, para garantizar su difusin y estricto cumplimiento. Se pueden clasificar en tres etapas : - Actividades Previas al Desastre. - Actividades Durante el Desastre. - Actividades Despus del Desastre