Está en la página 1de 7

SEGURIDAD INFORMTICA

Seguridad informtica es una actividad que se enfoca en la proteccin integral del sistema de
informacin (infraestructura y la informacin) de la empresa; con el fin de minimizar los riesgos, daos y
amenazas que puedan impedir el optimo funcionamiento del sistema. Para ello existen una serie de
estndares, protocolos, mtodos, reglas, herramientas y leyes concebidas como parmetros para disear
e implementar un sistema de seguridad que permita mantener permanentemente a salvo y en pleno
funcionamiento el sistema de informacin.

El administrador del sistema de informacin y tcnicos especializados en seguridad informtica, son los
responsables de disear, implementar y mantener el sistema de seguridad para el sistema de
informacin, aplicando las normas internacionales, nacionales e internas de la empresa, tambin es
importante mencionar que el sistema de seguridad debe formar parte integral del sistema general de
control establecido en la empresa. Despus de implementar el sistema de seguridad, todas las personas
relacionadas con el sistema de informacin (Autoridades, tcnicos y usuarios) deben observar y aplicar
sin excepcin las normas de seguridad establecidas.

Los auditores y/o contralores tienen la funcin de verificar el funcionamiento y cumplimiento del sistema
de seguridad implementado para el sistema de informacin, detectando y comunicando oportunamente
los errores, fallas, daos y vulnerabilidades existentes, a la vez que deben plantear las recomendaciones
pertinentes, a fin de resolver situaciones especficas y mejorar la seguridad del sistema, convirtindose
as en co-responsables de mantener la integridad del sistema.

La seguridad informtica se ha dividido en 2 tipos: Seguridad Fsica y Seguridad Lgica, para una
mayor comprensin y abordaje, veamos cada una de ellas:

Seguridad Fsica: consiste en la aplicacin de barreras fsicas, instalacin de dispositivos,


establecimiento de mecanismos, normas y procedimientos de control, como medidas de prevencin,
deteccin, reduccin y correccin ante amenazas, riesgos y daos a los recursos que integran el sistema
de informacin, en el entorno donde funciona el sistema.

Las principales amenazas relacionadas con la seguridad fsica son:

1. Acceso de sustancias nocivas desde el exterior como el polvo, humo, aire contaminado, qumicos,
imanes, etc.

2. Sobre calentamiento o enfriamiento por efectos climticos no controlados de manera eficiente.

3. Desastres naturales: Incendios accidentales, tormentas e inundaciones, terremotos, rayos,


contaminacin por radiacin, etc.

Para monitorear los desastres naturales o cualquiera de las amenazas antes mencionadas, deben
Instalarse: detectores de calor, de humedad, de humo, censores de movimientos, extintores
automticos y manuales, cmaras, alarmas apropiadas y otros dispositivos diseados para
monitoreos especiales; pero es necesario que alguna persona con suficiente capacidad supervise con
eficiencia, para conocer oportunamente la ocurrencia de algn evento y realizar las acciones
necesarias para contrarrestar los efectos, ya que estos se presentan de forma inesperada. Los
mecanismos y dispositivos ayudan con el monitoreo, pero es conveniente hacer una adecuada labor
de prevencin, eliminando cualquier situacin o elementos que puedan provocar o contribuir con la
ocurrencia de los desastres en un momento determinado.

4. Acceso de animales: como roedores e insectos, etc.

5. Disturbios, sabotajes internos y externos deliberados.

1
6. Acceso de personas no autorizadas con intencin de robar, daar o manipular equipos, datos,
documentos, etc.

Deben establecerse normas claras que determinen las personas autorizadas para acceder a las
instalaciones y a los equipos, las funciones que desempean, el tiempo de permanencia en las
instalaciones, entre otras. Estas normas deben ser conocidas por todo el personal de la empresa,
adems deber asignarse la funcin y la responsabilidad por la aplicacin y regulacin de dichas
normas a una persona con suficiente capacidad y un alto sentido de responsabilidad.

Para regular los accesos de las personas no autorizadas o de animales, deben instalarse barreras
adecuadas como: paredes, techos, pisos, puertas y ventanas seguras, especialmente en aquellas
reas donde se concentran equipos para almacenar datos, documentos y software, etc. que
generalmente son compartidos por la mayora de los usuarios, como los servidores y otros.

Aquellas empresas que cuentan con recursos suficientes disponen de personal de seguridad
exclusivas para vigilar y controlar el acceso de las personas a las instalaciones, instalan tambin en
los puntos de entrada y salida dispositivos eficientes para identificacin de personas autorizadas y
detectores de metales o sustancias nocivas, esto facilita la aplicacin y regulacin del sistema de
seguridad.

Es muy importante que tanto las normas, dispositivos e instalaciones, cuenten con el mantenimiento
adecuado para garantizar su eficiencia de forma permanente, as tambin deber evaluarse
regularmente el desempeo de las personas responsables de mantener el sistema de seguridad y
proporcionar las capacitaciones, los recursos y condiciones requeridos para lograr el nivel de
desempeo esperado.

Evaluar y controlar permanentemente la seguridad fsica y ambiental del edificio es la base para mantener
la seguridad fsica del sistema. Adems es indispensable mantener vigente un plan de contingencias para
actuar oportunamente y de manea controlada en caso que ocurra algn evento.

Seguridad Lgica consiste en la aplicacin de barreras electrnicas, mecanismos, normas y


procedimientos de control, como medidas de prevencin, deteccin, reduccin y correccin ante
amenazas, riesgos y daos a los equipos (Hardware), aplicaciones (Software), datos, documentos,
procesos, y transacciones electrnicas, que forman parte del sistema de informacin.
Existe un viejo dicho en la seguridad informtica que dicta que "todo lo que no est permitido debe estar
prohibido" y esto es lo que debe garantizar la Seguridad Lgica del sistema.

Las principales amenazas relacionadas con la seguridad lgica son:

1. Accesos electrnicos externos de hackers y crackers y cualquier otra persona no autorizada.

2. Accesos electrnicos internos de usuarios y cualquier otra persona no autorizada.

3. Virus, espas y cualquier aplicacin que tenga como fin apropiarse o causar daos de datos, software,
documentos o equipos.

4. Manipulacin intencionada por medios electrnicos de datos, documentos, procesos y transacciones


electrnicas de la institucin.

Para garantizar la seguridad lgica del sistema, se deben establecer diferentes medidas:

1. Asignar y mantener un estricto control de las contraseas de usuarios internos y externos.

2
2. Asegurar que los operadores y usuarios puedan trabajar sin una supervisin minuciosa y no puedan
modificar los programas ni los archivos que no correspondan. Esto se logra estableciendo los
derechos de cada uno al establecer los perfiles de acceso.

3. Asegurar que se estn utilizados los datos, archivos y aplicaciones correctos segn las normas.

4. Asegurarse a travs de algunas tecnologa (como la criptografa) que los datos o archivos enviados o
recibidos lleguen a al destino al cual han sido enviados y que no han sido manipulados.

5. Mantener copias de seguridad de datos, documentos y aplicaciones en lugares seguros.

6. Instalacin de FIREWALLS para detectar intrusos

7. Controlar eficientemente la entrada y salida de correos electrnicos.

8. Limitar el acceso a internet solo para realizar las funciones necesarias autorizadas.

Plan de Contingencia para Sistemas de Informacin y tecnologa


Introduccion general

A medida que las empresas se han vuelto cada vez ms dependientes de las tecnologas de informacin
para manejar eficientemente sus operaciones, la mayora de ellas necesitan un alto nivel de
disponibilidad y funcionamiento del sistema, ya que les resultara extremadamente difcil funcionar sin los
recursos tecnolgicos. Los procedimientos manuales, si es que existen, slo seran prcticos por un corto
periodo para ciertas operaciones en caso de un desastre, la interrupcin prolongada del sistema puede
llevar a prdidas financieras significativas, lo ms grave es que se puede perder la credibilidad del pblico
o los los clientes y, como consecuencia, la empresa puede terminar en un fracaso total.

Cabe preguntarse Por se necesita un plan de contingencia para desastres si existe una pliza de seguro
para estas eventualidades ? La respuesta es que si bien el seguro puede cubrir los costos materiales de
los activos de una organizacin en caso de una calamidad, no servir para recuperar el negocio. No
ayudar a conservar a los clientes y, en la mayora de los casos, no proporcionar fondos por adelantado
para mantener funcionando el negocio hasta que se haya recuperado.

En un estudio realizado por la Universidad de Minnesota, se demostr que ms del 60% de las empresas
que sufren un desastre y que no tienen un plan de recuperacin implementado, saldrn del negocio en
dos o tres aos. Mientras vaya en aumento la dependencia de la disponibilidad de los recursos
tecnolgicos, este porcentaje seguramente crecer. Por lo tanto, la capacidad para recuperarse
xitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento
crucial en un plan estratgico de seguridad para una organizacin.

Imagnese una situacin que interrumpa el funionamiento del sistema durante una semana o un mas;
imagine la prdida de todos los datos de la empresa, todas las unidades de respaldo del sitio y la
destruccin de equipos vitales del sistema Cmo se manejara semejante catstrofe ? Si usted se ve en
esta situacin, lo nico que puede hacer es preguntarse Y ahora qu hago ? demasiado tarde, usted
esta en desgraca ! La nica manera efectiva de afrontar un desastre exitosamente es tener una solucin
completa y totalmente probada para recuperarse de los efectos del mismo.

Qu es un desastre?

Un desastre es el conjunto de efectos negativos originados por eventos naturales o provocados, que
impiden el normal funcionamiento parcial o total del sistema de informacin y tecnologa en una empresa,
por un perodo de tiempo relativamente extenso. Por ejemplo, incendios, sabotajes o inundaciones de
3
gran magnitud, pueden provovacar un desastre al destruir parte o la mayora de la infraestructura del
sistema. Estadsticas recientes sobre los tipos ms comunes de desastres que ocurren en el mundo,
muestran que el terrorismo, los incendios, inundaciones, terremotos y los huracanes son las causas ms
comunes en muchos pases. La gerencia tiene que determinar el perodo maximo de interrupcin de
servicios que no afecte significativamente sus operaciones, a travs de un anlisis de impacto en la
empresa.

Plan de contingencia

El plan de contingencia es un instrumento que contiene el conjunto de soluciones y acciones que deben
ser aplicadas de forma inmediata en caso que suceda un desastre, este plan forma parte integral de la
seguridad del sistema. La reactivacin de las actividades despus de un desastre puede ser una de las
situaciones ms difciles con las que una organizacin deba enfrentarse. Tras un desastre, es probable
que no haya posibilidades de regresar al lugar de trabajo o que no se disponga de algunos de los
recursos del sistema. Incluso, es posible que no se pueda contar con todo el personal. La prevencin es
la clave del xito para enfrentar los problemas y solucionarlos oportunamente.

No existe ninguna manera para protegerse completamente contra todo tipo de riesgos o desastres,
particularmente amenazas naturales o provocadas a gran escala que pueden destruir zonas extensas. La
decisin de cmo prevenir o enfrentar los desastres debe tomarse en los ms altos niveles de la empresa,
Por ejemplo, algunas empresas implementan estrategias para protejerse contra desastres locales,
nacionales o internacionales. Un plan de contingencia describe el proceso para emprender acciones
tendientes a la recuperacin en caso que ocurra una catstrofe, lamentablemente, es muy fcil pensar en
un plan de contingencia, pero es muy difcil desarrollarlo e implementarlo y que funciones eficientemente
cuando se requiere. Ya que con la cantidad de trabajo y el bajo nivel de consciencia que la mayora de los
gerentes tienen, el plan de contingencia tiende a dejarse para una ocasin posterior y esto es una causa
comn de los desastrosos efectos que sufrimos.

Con mucha seguridad puedo decirle que se debe planificar, desarrollar e implementar una solucin de
recuperacin de desastre que cumpla con las necesidades de su empresa. N O L O O L V I D E N U
N C A. O.K.

METODOLOGA PARA EL PLAN DE CONTINGENCIA


Sabemos que desarrollar e implementar un plan de contingencia para recuperacin de desastres puede
implicar esfuerzos y gastos considerables, sobre todo si se est partiendo de cero, pero es algo que
podra salvarnos de lo peor. Para disponer de una solucin eficiente debemos considerar los siguientes
factores:

1. Debe ser diseada y elaborada considerando las necesidades, recursos y condiciones de la empresa.

2. Puede requerirse instalaciones y recursos alternos.

3. Requerir del desarrollo y prueba de muchos procedimientos nuevos, y stos deben ser compatibles
con las operaciones existentes. Se har participar al personal de muchos departamentos diferentes, el
cual debe trabajar en equipo cuando se desarrolle e implemente la solucin.

4. Implicar un compromiso de parte de las autoridades y el personal de la empresa, en cuando a la


provisin de recursos, la actitud del personal tanto en la prevencin de desastres como en la
recuperacin en caso de que suceda.

Como en cualquier diseo de proyecto, un mtodo estructurado ayuda a asegurar de que se toman en
cuenta todos estos factores y de que se les trata adecuadamente. A continuacin se muestran las
principales actividades requeridas para la planificacin, desarrollo e implementacin de un plan de
contingencias para la recuperacin de desastres.
4
1. Identificar y evaluar los riesgos
2. Elaborar el plan de contingencia
3. Implementar el plan contingencia
4. Mantenimiento del plan contingencia

1. IDENTIFICAR Y EVALUAR LOS RIESGOS

La primera fase del plan de contingencia, es la identificacin y evaluacin de los riesgos, observando
que est en riesgo?, Cules son los riesgos?, cul es la probabilidad de que sucedan? y cules
seran los efectos?, al final del anlisis debemos presentar un informe que describa en forma clara y
completa los siguientes aspectos: la lista de riesgos posibles, la probabilidad de ocurrencia, los
elementos en riesgo, los efectos directos sobre el sistema y las consecuencia para la empresa, desde
el punto de vista de sus operaciones y los costos financieros.

2. ELABORACIN EL PLAN

Todo plan de contingencias debe contener al menos lo siguiente:

1. Introduccin general
2. Objetivos del plan
3. Prioridades en caso de desastre
4. Riesgos posibles
5. Responsables directos e indirectos de mantener y ejecutar el plan
6. Procesos y Procedimientos especficos para atender cada uno de los riesgos identificados.
7. Riesgos no identificados.
8. Recursos reales requeridos para ejecutar cada uno de los procedimientos
9. Proveedores de recursos requeridos
10. Copia de respaldo de datos, aplicaciones y documentacin del sistema
11. Presupuesto para la ejecucin del plan
12. Conclusiones
13. Recomendaciones
14. Anexos

1. Introduccin general
En la introduccin debemos describir la situacin actual en que se encuentra la empresa,
considerando el anlisis de riesgos antes descrito, se debe hacer nfasis en la importancia del plan de
contingencias para la conservacin del sistema, los efectos sobre las operaciones y los recursos de la
empresa en caso que se presente un desastre que afecte al sistema. Tambin debemos describir la
importancia de la participacin activa y proactiva de todo el personal de la empresa en cuanto a: la
prevencin de desastres, la actitud y las acciones durante la recuperacin.

2. Objetivos del plan


Los objetivos deben definirse tan claramente para que el 100% del personal los entienda y adems
debemos incluir todos o la mayora de los objetivos que se pretenden alcanzar al aplicar el plan de
contingencias.

3. Prioridades en caso de desastre

Se debe presentar la lista ordenada de aquellos aspectos que deben atenderse en el orden de
prioridad asignada a cada uno, usualmente la integridad de las personas tienen prioridad nmero 1,
despus aquellos recursos de mayor importancia para el funcionamiento del sistema.

5
4. Riesgos posibles
Mostrar la lista de riesgos es de vital importancia para que el personal tenga conocimiento de los
mismos, estos deben presentarse en orden de importancia ya sea por su probabilidad de ocurrencia o
por los efectos que pudieran producir. Debe siempre hacerse referencia al informe de identificacin y
evaluacin de riesgos antes descrito.

5. Responsables directos e indirectos de mantener y ejecutar el plan


Debe mostrarse la lista de responsables directos de tomar decisiones y ejecutar las acciones
correspondientes en caso de desastre, con nombre completo, nmero de telfono, direccin del
domicilio, tambin debe mostrarse la lista de personas responsables de mantener actualizado el plan
de contingencia que usualmente son las mismas personas, pero podran ser diferentes ya que estos
deben mantenerse en observacin permanente a fin de que el plan este actualizado, porque nunca se
sabe cuando sufriremos un desastre.

6. Procesos y Procedimientos especficos para atender cada uno de los riesgos identificados.
Se deben estructurar los procesos en forma grfica y escribir los procedimientos tan claros como se
posible a fin de no perder tiempo y cometer errores por malas interpretaciones, para cada una de las
actividades que deben ejecutarse.

7. Riesgos no identificados.
En ocasiones se observa que suceden eventos desastrosos que nunca imaginamos y por tanto no
estamos preparados para enfrentarlos, en estos casos debemos confiar en el buen juicio de las
personas responsables antes designados, pero estos deben actuar siempre en funcin de las
prioridades establecidas y llevar a cabo las acciones que se consideren mas convenientes para
preservar o recuperar el funcionamiento del sistema.

8. Recursos reales requeridos para ejecutar cada uno de los procedimientos


La organizacin, el funcionamiento y los recursos del sistema deben estar completamente
documentados, dicha documentacin al igual que algunos recursos alternos necesarios para poder
recuperar el sistema a la mayor brevedad posible, entre estos recursos de mayor sensibilidad
tenemos: Servidores, equipos de comunicacin, instalaciones alternas, cdigos de acceso a: equipos,
aplicaciones, bases de datos y documentos, copia de la base de datos, copia de las aplicaciones
bsicas y todos aquellos recursos que segn nuestro anlisis son necesarios, deben mantenerse
siempre accesible para las personas que lo requieran sobre todo en caso que ocurra un desastre.

Muchas instituciones mantienen servidores de respaldo en lnea que entran en operacin cuando
ocurre una falla y pueden operar desde otras instalaciones en lugares estratgicamente ubicados,
igualmente mantienen generadores de energa que entran en operacin de forma automtica o semi
automtica, con la finalidad de no interrumpir el funcionamiento del sistema.
En todo caso al momento de disear el plan de contingencia considerando los riesgos posibles, se
deben establecer todos los recursos necesarios para la recuperacin del sistema, pero tambin se
requiere de recursos financieros para cubrir los gastos propios de una recuperacin en caso de
ocurrencia de un desastre. En algunos casos se dispone de lneas de crditos establecidos con
instituciones financieras y/o con casas comerciales.

9. Proveedores de recursos y servicios requeridos


Los proveedores de recursos y de servicios son siempre necesarios para la puesta en operacin de
nuevas instalaciones, con quienes debemos establecer alianzas estratgicas para actuar de forma
coordinada en caso de ocurrencia de un desastre, usualmente se establecen convenios y se designan
personas que debern mantener la comunicacin permanente, sobre todo cuando se revisa y se
actualiza el plan de contingencia, para mantenerse listos para actuar de inmediato.

6
10. Copia de respaldo de datos, aplicaciones y documentacin del sistema
Es muy conveniente mantener copias de datos, software y documentacin en diferentes lugares,
dichas copias deben mantenerse actualizadas siempre y adems tener acceso a dichas copias para
poder recuperar el funcionamiento del sistema sin dificultades a la mayor brevedad posible.

11. Presupuesto para la ejecucin del plan


Establecer un presupuesto al momento de disear o actualizar el plan de contingencia ser de mucha
utilidad, esto nos dar una idea de la disposicin de recursos financieros que debemos mantener y
proporcionar parmetros que los tcnicos deben tomar en cuenta al momento de actuar sobre la
recuperacin, en vista que en momentos de crisis no tenemos mucho tiempo para evaluar muchas
soluciones alternas y a veces se nos ocurren ideas efectivas pero con un costo que no se puede
cubrir y entonces generamos un problemas mayor.

12. Conclusiones
Las conclusiones que se presenten deben estar respaldas por la informacin contenida en el plan y
deben ser realistas sin entrar en la especulacin, porque muchas veces cuando exageramos en ves
de ayudar producen miedo. Deben estar expresadas de forma muy claras para evitar distintas
interpretaciones.

13. Recomendaciones
Las recomendaciones deben hacerse se manera objetiva con el fin de lograr el xito en cualquier
recuperacin del sistema, pero estas tienen que ser comprensibles y viables ya que en ocasiones se
presentan sugerencias muy ambiguas que dan lugar a cualquier interpretacin y en este caso no
sirven de gua para los tcnicos.

14. Anexos
Debemos agregar en los anexos cualquier informacin o documentacin que ample la informacin
contenida en el plan.

4. IMPLEMENTAR EL PLAN
Una vez redactado el plan, hay que probarlo para estar seguro de que el mismo va a funcionar cuando
sea necesario, se deben realizar las pruebas para encontrar problemas similares a las descritas en el
plan y para verificar que el plan funciona. Muchas veces es necesario hacer simulacros con personal
de instituciones especializadas como los Bomberos, ambulancias, policas, proveedores de bienes y
servicios y el propio personal involucrado en el plan, durante estos simulacros logramos optimizar el
plan tomando en cuenta las observaciones de los participantes. Por supuesto, tambin es necesario
verificar los procedimientos y aplicaciones que se emplearn para recuperar relacionados con el plan.

Por ltimo, cuando se disponga de un plan definitivo ya verificado, es necesario brindar la capacitacin
y concienciacin requerida a las personas que necesitan, proporcionando copia del plan a cada uno de
ellos. As mismo, es necesario asegurar la disponibilidad de copias extra del plan en lugares
accesibles y seguros fuera del lugar de trabajo. Mantngase una lista de todas las personas y
ubicaciones que tienen una copia del plan. Cuando se actualice el plan, sustituya todas las copias y
recoja las versiones previas.

5. MANTENIMIENTO DEL PLAN


El mantenimiento del plan de contingencia consiste en lograr que el mismo se encuentre siempre
actualizado, listo para atender cualquier situacin que se presente.

Debemos revisar el plan peridicamente en su totalidad, para verificar la existencia y la


aparicin de nuevos riesgos y amenazas, realizando los cambios necesarios a cualquier
informacin que pueda haber variado. Este proceso requiere de tiempo y actitud positiva de
los responsables, pero posee algunos valiosos beneficios que se percibirn a travs de la
confianza del personal de la empresa, aunque nunca tenga que utilizarse el plan.