Professional Documents
Culture Documents
Autor:
Ing. René Arroyo Ávila, MI, MSI, MA
raa 2008
Introducción
En los últimos años la tecnología ha evolucionado a un ritmo tan creciente que ha
hecho que la mayoría de las organizaciones migren sus procesos hacia equipos de
cómputo con lo que han dejado de hacer sus tareas en papel para dejarlas
almacenadas de manera digital en los servidores y las computadoras personales que
utiliza cada uno de los usuarios. Con ello se ha puesto de manifiesto la importancia
de la información que se administra y se almacena en las áreas de tecnologías de
información y se ha tomado vital importancia, proteger los servidores, las bases de
datos, las aplicaciones, las redes, las computadoras de escritorio y en general todos
los bienes informáticos que están bajo su responsabilidad.
raa 2008 2
Seguridad estratégica
Es el proceso diseñado para salvaguardar la disponibilidad, integridad y
confidencialidad de los programas y los datos designados en contra de accesos no
autorizados, modificaciones o destrucción.
o Disponibilidad, implica que sólo los usuarios autorizados puedan tener acceso a
los datos y programas cuando lo necesiten; para llevar a cabo el proceso de
negocios de la empresa.
raa 2008 3
Posibles amenazas a la seguridad
raa 2008 4
3.- Establecer juntas o mesas de revisión.- En este paso se menciona que la
revisión y la aprobación de los proyectos de seguridad se puede hacer de mejor
forma con dos mesas, una a nivel ejecutivo donde se fija la dirección de los
proyectos, se establecen metas y políticas y se aportan conocimientos de asuntos de
seguridad. La segunda mesa está formada por analistas y especialistas que
evaluaran la factibilidad técnica de las políticas de seguridad así como las iniciativas
propuestas por la mesa ejecutiva, de igual forma esta mesa propondrá estándares y
procedimientos de seguridad que se puedan aplicar. Un ejemplo de estos
procedimientos son la selección del password, los cuales son utilizados para impedir
el acceso a los datos apersonas que no tengan permiso de hacerlo.
5.- Inventariar el estado actual de seguridad.- En este paso se hace una lista de
todos los elementos de seguridad con que se cuenta y la seguridad que se necesita
desarrollar o comprar.
Este inventario debe contener las políticas que existen, establecer cuales se aplican
y cuales no, así como también si están debidamente aprobadas e implementadas. Se
debe ver con que herramientas se cuentan en materia de seguridad y cuales de
estas herramientas se pueden usar en combinación con software o con hardware. De
igual manera se deben de inventariar las métricas de seguridad con las que se
cuenta para posteriormente analizarlas.
raa 2008 5
6.- Establecer el plan de seguridad en la organización.- Basándose en los tres
puntos anteriores se establece el diagnóstico de seguridad que existe en la
organización, de tal forma que sirva como punto de partida para desarrollar el plan de
seguridad que permita asegurar la buena marcha del servicio que prestan las áreas
de tecnologías de información. En este paso se deben de formar equipos que
desarrollen esquemas de implementación para los procedimientos e iniciativas
propuestas.
8.- Revisar y aprobar planes.- La mesa de seguridad ejecutiva revisará los planes
de implementación del plan de seguridad para darles presupuesto, asignarles tiempo
límite para realizar las acciones comprometidas y definir prioridades.
raa 2008 6
autorizaciones de acceso a los recursos, revisión y validación periódica de la
vigencia del tipo acceso, asignación de responsabilidades; supervisión de las
tecnologías y soluciones aplicadas, la recuperación después de algún daño o
falla y realización de planes de contingencia.
Conclusiones
El avance de la tecnología genera instrumentos que pueden ser utilizados como
herramientas para dañar y alterar la información y es de suma importancia que tanto
los datos como los programas de la empresa tengan el grado de seguridad
adecuado, para que se pueda tener la plena confianza de que la información que ahí
se procesa y se almacena, solo será modificada y accesada por las personas que
están debidamente autorizadas para hacerlo.
raa 2008 7
Bibliografía
Schiesser, R. (2002). IT Systems Management; Design, Implementing and Managing
World-Class infrastructures. Strategic safety. Prentice Hall. USA.
Benson, C. (2001). Estrategias de seguridad. Inobits Consulting (Pty) Ltd. http://
www.microsoft.com/latam/technet/articulos/200011/art04/default.asp#a.
raa 2008 8
Caso de estudio
Dicha empresa esta constituida por dos socios el sr. José Alberto Martínez Treviño y
el Lic. Gilberto Cadena Chávez, que a la vez tiene a su cargo 22 empleados en total
entre el restaurante y las oficinas centrales.
Problemática
No existe confidencialidad en los datos que se encuentran en los programas tanto los
que están instalados en las oficinas donde hay información importante para la
empresa como los son nomina, pago a proveedores etc., como el programa instalado
en el restaurante sobre las ventas del mismo, cualquier persona puede entrar a
cualquier aplicación y modificar datos, por lo tanto la integridad de estos no son
confiables, no hay un responsable que se encargue del control de acceso , tampoco
se tienen respaldos de la información que se obtiene.
Solución
Definir una persona encargada únicamente de los procesos que se realicen en
dichas aplicaciones, control de acceso para las aplicaciones restringidas.
Implementar el uso de una bitácora para el registro de todas las operaciones
realizadas.
Resultado
Con la aplicación de estos métodos se logro tener una mayor confiabilidad y
confidencialidad en la información recabada, sobre todo se amplio la seguridad en
la misma.
raa 2008 9