You are on page 1of 9

Seguridad Estratégica

Autor:
Ing. René Arroyo Ávila, MI, MSI, MA

Chihuahua, Chih., enero de 2008

raa 2008
Introducción
En los últimos años la tecnología ha evolucionado a un ritmo tan creciente que ha
hecho que la mayoría de las organizaciones migren sus procesos hacia equipos de
cómputo con lo que han dejado de hacer sus tareas en papel para dejarlas
almacenadas de manera digital en los servidores y las computadoras personales que
utiliza cada uno de los usuarios. Con ello se ha puesto de manifiesto la importancia
de la información que se administra y se almacena en las áreas de tecnologías de
información y se ha tomado vital importancia, proteger los servidores, las bases de
datos, las aplicaciones, las redes, las computadoras de escritorio y en general todos
los bienes informáticos que están bajo su responsabilidad.

Mientras existan procesos que sean susceptibles de ser manipulados y dañados,


existirá la necesidad de un sistema de seguridad que salvaguarde la información que
es el activo más preciado para las empresas.

raa 2008 2
Seguridad estratégica
Es el proceso diseñado para salvaguardar la disponibilidad, integridad y
confidencialidad de los programas y los datos designados en contra de accesos no
autorizados, modificaciones o destrucción.

Desglosando la definición estableceremos que:

o Disponibilidad, implica que sólo los usuarios autorizados puedan tener acceso a
los datos y programas cuando lo necesiten; para llevar a cabo el proceso de
negocios de la empresa.

o Integridad, se refiere a la protección de información, datos, sistemas y otros


activos informáticos contra cambios o alteraciones en su estructura o contenido
ya sean intencionados, no autorizados o casuales.

o Confidencialidad, tiene relación con la protección de información frente a


posibles accesos no autorizados, con independencia del lugar en que reside la
información o la forma en que se almacena.

La información valiosa que la empresa custodia o maneja, necesita ser protegida


mediante estrictas medidas de control. La verificación y la autorización son dos
mecanismos que se emplean para asegurar la confidencialidad de la información.

También es importante proteger los procesos o programas que se emplean para


manipular los datos. La información se debe preservar y poner a disposición de sus
propietarios y de los usuarios autorizados de una forma precisa, completa y
oportuna.

Estudios realizados en los últimos años demuestran que un alto porcentaje de


organizaciones han experimentado algún tipo de pérdida de información o soporte
físico, siendo las causas más frecuentes los errores no intencionados y los virus.

raa 2008 3
Posibles amenazas a la seguridad

Administración de la seguridad estratégica


Para proteger los datos y programas, que son considerados como bienes muy
importantes de la empresa, se debe desarrollar un proceso de seguridad estratégica,
para lo cual el autor nos ofrece doce pasos que a continuación explicaré.

1.- Seleccionar un propietario de proceso de seguridad.- Esta persona estará


encargada de las actividades diarias del proceso, formara un equipo interdisciplinario
y hará aportaciones al equipo de trabajo, participará en las juntas de revisión de la
seguridad técnica y desarrollará estándares y planes para su implementación. El
candidato para este puesto debe poseer un alto conocimiento de las aplicaciones, del
software de sistemas y sus componentes, del software de red y sus componentes;
con menor grado, tener conocimiento del modelo de negocios de la empresa, de los
sistemas de respaldo y de las configuraciones de software. Debe tener una alta
habilidad de analizar métricas, de pensar y planear estratégicamente; con menor
grado, debe tener la habilidad para trabajar efectivamente con desarrolladores de TI
y de hablar efectivamente con ejecutivos de TI.

2.- Definir metas de seguridad estratégica.- Se deben definir metas específicas


que reflejen claramente a dónde queremos llegar en cuanto a seguridad y darles
grado de importancia, esto sin olvidar nunca la integridad, la disponibilidad y la
confidencialidad de los datos.

raa 2008 4
3.- Establecer juntas o mesas de revisión.- En este paso se menciona que la
revisión y la aprobación de los proyectos de seguridad se puede hacer de mejor
forma con dos mesas, una a nivel ejecutivo donde se fija la dirección de los
proyectos, se establecen metas y políticas y se aportan conocimientos de asuntos de
seguridad. La segunda mesa está formada por analistas y especialistas que
evaluaran la factibilidad técnica de las políticas de seguridad así como las iniciativas
propuestas por la mesa ejecutiva, de igual forma esta mesa propondrá estándares y
procedimientos de seguridad que se puedan aplicar. Un ejemplo de estos
procedimientos son la selección del password, los cuales son utilizados para impedir
el acceso a los datos apersonas que no tengan permiso de hacerlo.

4.- Identificar requerimientos de seguridad, dividir en categorías y darles


prioridad para su atención.- Cada una de las áreas clave debe identificar los
requerimientos de seguridad que detectan como debilidades o como problema
tangible que hay que solucionar. La suma de los requerimientos se debe clasificar y
agrupar por área temática (redes, software de sistemas, bases de datos, etc.), para
que el equipo multidisciplinario establezca la prioridad con la que deben s er
atendidos, para evitar que haya alguna alteración en la disponibilidad de los
recursos.

5.- Inventariar el estado actual de seguridad.- En este paso se hace una lista de
todos los elementos de seguridad con que se cuenta y la seguridad que se necesita
desarrollar o comprar.

Este inventario debe contener las políticas que existen, establecer cuales se aplican
y cuales no, así como también si están debidamente aprobadas e implementadas. Se
debe ver con que herramientas se cuentan en materia de seguridad y cuales de
estas herramientas se pueden usar en combinación con software o con hardware. De
igual manera se deben de inventariar las métricas de seguridad con las que se
cuenta para posteriormente analizarlas.

raa 2008 5
6.- Establecer el plan de seguridad en la organización.- Basándose en los tres
puntos anteriores se establece el diagnóstico de seguridad que existe en la
organización, de tal forma que sirva como punto de partida para desarrollar el plan de
seguridad que permita asegurar la buena marcha del servicio que prestan las áreas
de tecnologías de información. En este paso se deben de formar equipos que
desarrollen esquemas de implementación para los procedimientos e iniciativas
propuestas.

7.- Desarrollar políticas de seguridad.- Tomando en cuenta el plan de seguridad


desarrollado, es necesario revisar las políticas existente (si es que las hay),
eliminando aquellas que se consideren obsoletas, modificando las que se pueden
seguir utilizando y diseñando nuevas políticas que apoyen el logro de las metas de
seguridad señaladas en el plan. Es necesario diseñar la forma de instrumentar la
implementación de las políticas diseñadas.

8.- Revisar y aprobar planes.- La mesa de seguridad ejecutiva revisará los planes
de implementación del plan de seguridad para darles presupuesto, asignarles tiempo
límite para realizar las acciones comprometidas y definir prioridades.

9.- Evaluar la factibilidad técnica de los planes.- La segunda mesa de revisión de


seguridad deberá revisar los planes de implementación desde un punto de vista de
factibilidad técnica, buscando que dichos planes estén apegados a los estándares
establecidos en las normas nacionales e internacionales.

10.- Asignar el tiempo y ejecutar la implementación.- Una vez revisados y


aprobados los planes de implementación, se deben designar las respectivas
responsabilidades y fechas límite para ejecutarlos.

Tipos de medidas de control

o Medidas de control administrativas, que incluyen las políticas y procedimientos


de seguridad. Los procedimientos pueden ser: renovación de claves de acceso,

raa 2008 6
autorizaciones de acceso a los recursos, revisión y validación periódica de la
vigencia del tipo acceso, asignación de responsabilidades; supervisión de las
tecnologías y soluciones aplicadas, la recuperación después de algún daño o
falla y realización de planes de contingencia.

o Medidas de control físicas, limitan el acceso físico directo a los equipos.


Algunos ejemplos de este control consisten en: cerraduras, bloqueos para
teclados, vigilantes de seguridad, alarmas y sistemas ambientales para la
detección de agua, fuego y humo.

o Medidas de control técnicas, son controles que se implantan a través de


soportes físicos o lógicos que son difíciles de vencer y pueden funcionar sin
intervención humana. El soporte lógico incluye: antivirus, firmas digitales,
cifrado, herramientas de gestión de red, contraseñas, tarjetas inteligentes,
control de acceso de llamadas, seguimiento de huellas o trazas de auditoria y
sistemas expertos de detección de intrusiones.

De aquí la importancia de contar con personal que se dedique única y


exclusivamente a administrar, revisar y evaluar la seguridad en las áreas de
tecnologías de información.

Conclusiones
El avance de la tecnología genera instrumentos que pueden ser utilizados como
herramientas para dañar y alterar la información y es de suma importancia que tanto
los datos como los programas de la empresa tengan el grado de seguridad
adecuado, para que se pueda tener la plena confianza de que la información que ahí
se procesa y se almacena, solo será modificada y accesada por las personas que
están debidamente autorizadas para hacerlo.

raa 2008 7
Bibliografía
Schiesser, R. (2002). IT Systems Management; Design, Implementing and Managing
World-Class infrastructures. Strategic safety. Prentice Hall. USA.
Benson, C. (2001). Estrategias de seguridad. Inobits Consulting (Pty) Ltd. http://
www.microsoft.com/latam/technet/articulos/200011/art04/default.asp#a.

raa 2008 8
Caso de estudio

Grupo Alimenticio Luz de Luna S. A. de C. V. es una empresa dedicada a dar buen


servicio y buena comida, calidez y ambiente, variedad y gusto, la receta perfecta de
la comida mexicana para que sus clientes se sientan como en casa. El mercado al
que ellos están dirigidos es a personas mayores de 30, ya que cuentan, en el mismo
restaurante con un bar. y música en vivo dedicada a gente de esa edad o mas .

Dicha empresa esta constituida por dos socios el sr. José Alberto Martínez Treviño y
el Lic. Gilberto Cadena Chávez, que a la vez tiene a su cargo 22 empleados en total
entre el restaurante y las oficinas centrales.

Problemática
No existe confidencialidad en los datos que se encuentran en los programas tanto los
que están instalados en las oficinas donde hay información importante para la
empresa como los son nomina, pago a proveedores etc., como el programa instalado
en el restaurante sobre las ventas del mismo, cualquier persona puede entrar a
cualquier aplicación y modificar datos, por lo tanto la integridad de estos no son
confiables, no hay un responsable que se encargue del control de acceso , tampoco
se tienen respaldos de la información que se obtiene.

Solución
Definir una persona encargada únicamente de los procesos que se realicen en
dichas aplicaciones, control de acceso para las aplicaciones restringidas.
Implementar el uso de una bitácora para el registro de todas las operaciones
realizadas.

Resultado
Con la aplicación de estos métodos se logro tener una mayor confiabilidad y
confidencialidad en la información recabada, sobre todo se amplio la seguridad en
la misma.

raa 2008 9

You might also like