1. REPUBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA EDUCACION
UNIVERSITARIA
INSTITUTO UNIVERSITARIO DE TECNOLOGÍA DE MARACAIBO
EXTENSION MACHIQUES
DEPARTAMENTO DE INFORMÁTICA
AUTOR:
ALCIDES VERA
CI. 16.968.730
MACHIQUES, ENERO de 2013
2. RESUMEN.
El estudio de esta guía sobre seguridad de la información en las pymes,contiene
información dirigida tanto a la dirección de la organización como alos perfiles
técnicos de la misma.Siendo elaborada para optimizar la seguridad interna de los
sistemas de información que suelen manipular las empresas, al momento degarantizar
la confidencialidad, integridad y disponibilidad de los datos.Ya que la
confidencialidad es la propiedad de la información, por la que se garantiza que está
accesible únicamente a personal autorizado a acceder a dicha información, la
integridad se refiere a la corrección y completitud de los datos y disponibilidad es
asegurar que los datos sean utilizables cuando estos sean necesitados para las tareas
habituales de la organización.
En líneas generales, cuando se decide desarrollar una Política de Seguridad
estamos estableciendo las bases para la gestión de la seguridad de la información que
se procesa en nuestros sistemas informáticos, sin embargo, no sólo estableceremos
indicaciones técnicas sino también organizativas, relacionadas con recursos humanos
o incluso con la seguridad física de nuestras instalaciones. Teniendo en cuenta que la
seguridad no es sólo un aspecto tecnológico, su Política de Seguridad también debe
incluir referencias a concienciación y formación a sus empleados, a la firma de
compromisos de confidencialidad por parte de los mismos es por ello que se aplica la
seguridad PYMES ya que esta minimiza los riesgos de seguridad y es la más viable
en cuanto a los aspecto económico.
La seguridad de información Pymes estáestructuradapor apartados indispensables
como lo son: el apartado de introducción que incluye: el marco normativo y la gestión
de seguridad de la información; que destacan las principales normas, estándares y
leyes como para introducir estrategias que toda organización debe realizar en cuanto a
la seguridad de la información. También los apartados de medidas de seguridad en
donde se refiere a los controles relacionados con el negocio, personal, sistema de
información y revisión del mismo. Culminando con el apartado final, en donde
únicamente observamos el resumen de la guía y glosario de términos, en los cuales se
da una breve descripción sobre las ideas más resaltantes desarrolladas y los términos
claves que se mostraron en el transcurso de dicha guía.
Para concluir las pymes declaran un notable grado de implantación de las
herramientas de seguridad básicas, normalmente incluidas en soluciones
paquetizadas. Aunque las empresas perciben que la seguridad ha mejorado, en cuanto
a la incorporación de medidas más allá de las tradicionales, que abarquen no sólo el
componente técnico, sino también el organizativo y estratégico.
3. RESUMEN ANALITICO.
Los sistemas de información se han constituido como una base imprescindible
para eldesarrollo de cualquier actividad empresarial; estos sistemas han evolucionado
de forma extraordinariamente veloz, aumentando la capacidad de gestión y
almacenamiento. El crecimiento ha sido constante a lo largo de las últimas décadas,
sin embargo, esta evolución tecnológica también ha generado nuevas amenazas y
vulnerabilidades para las organizaciones. Debido a que las empresas han sufrido
ataques de hackers través de redes en donde roban secretos y datos privados, no solo
las empresas han sido víctimas de estos depredadores informáticos si se compara con
las verdaderas amenazas que habitualmente se materializan en entornos de pymes:
accesos no autorizados a la información, pérdida de datos por negligencia o por virus,
entre otros son hechos que se configuran como verdaderas amenazas de la seguridad
de la información.
Conforme a que esta guía pretende está estructurada en el manual de referencia
para Pequeñas y Medianas empresas que abordan el problema de la seguridad de sus
sistemas de información y el cumplimiento de la legislación vigente. Sujetando
información dirigida tanto a la dirección de la organización como a los perfiles
técnicos de la misma. Con el fin de facilitar a todos elloscomprensión de esta
información y los riesgos que surgen relacionados con tecnologías y procesos de
negocio, requieren sistemas, soluciones y servicios emergentes como soluciones para
garantizar, de forma prolongada la actividad de las organizaciones, la seguridad de la
información base del negocio y los derechos de los individuos, en una sociedad cada
vez más informatizada, cumpliendo al mismo tiempo con leyes como la LOPD, LSSI
y otras. Teniendo en cuenta que la seguridad no es un productoes un procesoque
adquiere ser controlado, gestionado y motorizado con la firme intención de analizar
los casos pymes en las empresas.
En continuidad con lo antes dicho se mostrará la problemática de la captación y
gestión de clientespor parte de la empresa, siendo un problema dominanteen este
proceso y desde el punto de vista de laseguridad, debido a que mientras más siga
evolucionando la tecnología resultara sumamente imposible poder garantizar la
exactitud de los datos de clientes y la disponibilidad de las aplicaciones de gestión,
ocasionando perdida de información valiosa por parte de las empresas.
4. Pero esto se puede controlar a través de personas que profundicen las medidas de
seguridad indispensables en los sistemas de información, tomando en cuenta que los
elementos funcionen de forma unida y sistematizada en los aspectos de medidas
tecnológicas de protección y supervisando el debido funcionamiento de la tecnología
y las personas para así ejecutar los procesos adecuados. Tomando en cuenta
características importante que abarca desde registro de usuarios y autorizaciones de
acceso al sistema, información brindad con eficacia, exactitud, confiable y segura,
que pueda ser supervisada solo por los usuarios asignados para ello, que los datos
almacenados sean auténticos, que al momento de consultar el sistema pueda
determinar cuándo, cómo, quien y que fue lo que se hizo y que tenga la capacidad de
saber quiénes y la cantidad de veces que se ha accedido a dichos datos.
Todo esto hace referencia a la Disponibilidad, Integridad, Confidencialidad,
Autenticidad de los usuarios del servicio, Autenticidad y origen de los datos,
Trazabilidad del servicio, Trazabilidad de los datos.
Pudiendo brindar seguridad a un sistema de información con una adecuada gestión
de estas características antes mencionadas y contribuir a la disminución de las
inseguridades que una empresa sufre y reducir daños en la información si alguno de
estos riesgos llega a materializarse.
Debido a que de forma habitual, los datos de los clientes pueden llegar a la
organización a través de diferentes maneras suelen ser recabados por iniciativa del
cliente que solicita un servicio para luego ser procesado por el personal encargado.
De manera que existen amenazas generadas por entornos externos provocadas por
fenómenos de la naturaleza así como de origen humano intencionadas o accidentales.
Asimismo podemos decir que hay amenazas a las cuales debemos de temer las cuales
ocasionan fraudes.
También existen las amenazas propias del sistema las cuales afectan hardware,
software y el personal que hace uso de ellos, ocasionando amenazas debidas a errores
de uso o mantenimiento, y a fallos o averías de cualquiera de sus componentes.
Podemos Tomar en cuenta la gestión de seguridad de información debe ser objetiva y
atender la reducción de los riesgos a la que se encuentra expuesta la empresa.
5. Seguidamente se exponen los controles de seguridad, establecidos por la norma
UNE ISO/IEC 17799.En primer lugar nos topamos con el controles relacionados con
el negocio, en donde podemos observar que su principal objetivo esprecisar la política
de seguridad de la empresa, ordenar toda la información adquirida según su
importancia y la cantidad de contratos, debido que a que cuando se contrata más
personal debemos hacer de su conocimiento que la seguridad es la primera norma
fundamental para evitar que se cometan actos inseguros dejando bien especificado en
el contrato esta norma. Valiéndose de una representación de seguridad que maneje la
seguridad de la empresa y haciendo que se ejecuten las acciones dentro de la empresa
para mejorar la seguridad de la misma.
En segundo punto nos topamos con los controles relacionados con el personal y su
objetivo es definir las funciones y las responsabilidades del personal, las condiciones
de privacidad, capacitar en cuanto a seguridad de la empresa al personal, igualmente
dar a conocer sus compromisos y normas de seguridad, el uso adecuado de los
serviciospúblicos, para tratar en todo lo posible disminuir los accidentes.
Como tercero los controles relacionados con los sistemas de información, siendo
su vital objetivo es agrupar los controles en físicos y lógicos estableciendo elementos
de protección y de acceso al sistema, así como la inspección al acceso público,el
resguardo hacia amenazas externas e internas, internamente estos controles se topan
con la seguridad física, estableciendo las reglas de seguridad al momento de hacer
copias de seguridad.
6. ANÁLISIS CRÍTICO.
Para iniciar este análisis debemos hacer referencia a mi proyecto socio
tecnológico en cual esta titulado SISTEMA AUTOMATIZADO PARA EL
REGISTRO DE EXPEDIENTES Y CONTROL DE NOMINAS DE LOS
TRABAJADORES DE LA ALCALDIA BOLIVARIANA DE MACHIQUES DE
PERIJÁ debido a que la problemática en mi proyecto es que la alcaldía utiliza
sistema manual para el control de Registro de Expediente generando lentitud en el
proceso, la falta de seguridad en los datos y el descontrol, nuestra propuesta hecho es
cambiar el sistema manual de Registro, por un sistema automatizado, representa una
evolución notable en el sistema, ya que serán sustituidos los archivadores y los
procesos manuales de llenados de fichas y consulta por un sistema global encargado
del almacenamiento y búsqueda de toda la información vinculada en el proceso de
registro del Trabajador, aminorando notablemente la carga que representa para
personal administrativo.
Por consiguiente me veo en la necesidad de aplicar a nuestro proyecto la
seguridad de información para pymes ya que me parece que es de suma importancia
para la ejecución de mi proyecto, a que en el algunos de los módulos del sistema se
manejan datos importantes que posee la institución que de caer en manos equivocadas
podrían ocasionar graves daños a la institución y al sistema.
Es por ello que debería de considerar aplicar los elementos necesarios para que el
sistema funcione de forma conjunta y coordinada para obtener un correcto
funcionamiento del mismo, sin la aplicación de esta estrategia de seguridad presento
una desventaja al momento de la seguridad de la información y el cumplimiento de
obligaciones legales.
Ahora bien debe de introducirle a mi proyecto socio tecnológico los apartados
pertinentes que la Pymes me da a conocer destacando las principales normas,
estándares y leyes en cuanto a la gestión de seguridad, pienso que agrupar medidas de
seguridad tales como políticas de seguridad corporativas, relaciones con terceros,
acuerdos de confidencialidad entre otras que se deben tener en cuenta de forma
común por toda la organización, incluyendo así concienciación, funciones,
confidencialidad y recomendaciones, conteniendo la seguridad física en cualquiera de
los entornos y la seguridad lógica en las comunicaciones.
7. Para concluir sugiero a todas las personas que están iniciando la elaboración de algún
sistema de información que apliquen la guía de seguridad de la información para
PYMES ya que la seguridad no es un producto si no un proceso a efectuar en todo
sistema de cualquier tipo. Para así minimizar la problemática de la Seguridad de la
Información y el cumplimiento de sus obligaciones legales y tomen conciencia de
este hecho e inicien acciones dirigidas a poner en marcha sus planes de seguridad,
siendo importante para ello contar con el asesoramiento de profesionales
especializados.