SlideShare una empresa de Scribd logo

Seguridad

A
Ana María Citlali Díaz Hernández

La seguridad informática es un desafío en cualquier organización debido a la falta de conciencia sobre su importancia entre los usuarios y la necesidad de equilibrar la seguridad con la operatividad de los sistemas. Se presenta el caso de un encargado de seguridad informática en una empresa que se enfrenta a problemas como la falta de inversión hasta que ocurre un incidente, la dificultad de definir qué información proteger y limitar el acceso a internet y dispositivos externos provocando quejas de usuarios. La solución propuesta es crear un Com

1 de 6
Descargar para leer sin conexión
Cuadernos de la Facultad n. 5, 2010 107 La difícil tarea de la seguridad informática. Análisis de un caso en una organización típica salteña. Fredi Aprile, Sergio Appendino, H. Beatriz P. de Gallo1 (faprile@copaipa.org.ar), (sappendino@copaipa.org.ar), (bgallo@copaipa.org.ar) Resumen Las tareas relacionadas con la seguridad informática en cualquier empresa parecen no ser tan simples. La historia que se presenta a continuación, refleja casos reales de acontecimientos surgidos en este ámbito y región, que genera una situación problemática, y de que manera la podemos afrontar. Palabras Claves: Seguridad - Seguridad informática - Información - Comité de seguridad. 1. La Historia. La información procesada, almacenada y consultada por los medios tecnológicos actuales es un recurso más de cualquier organización. En este contexto, la jefatura de una empresa ha confiado en una persona, el Lic. Juan Seguro, la responsabilidad de la seguridad informática. Antes de asumir esta tarea, él había ingresado al 1 Fredi Rene Aprile es Licenciado en Análisis de Sistemas. Analista Senior en el Poder Judicial de Salta en las áreas de seguridad informática, auditorias e informática forense. Es docente de la UCASAL. En el ámbito privado, se desempeña como consultor informático con especialización en la seguridad informática. Sergio Appendino es Ingeniero en Sistemas, CISA (Auditor Interno de Sistemas Certificado), Docente de UCASAL y Perito Informático en la Corte de Justicia Provincial y Federal de Salta. H. Beatriz P. de Gallo, es Ingeniera en Computación, Master en Administración de Negocios, docente e investigadora de la UCASAL. Es además perito informático de la Corte de Justicia de Salta. En el ámbito privado, se desempeña en la organización y gestión de proyectos de capacitación in company. La falta de conciencia en la seguridad de los datos es un problema presente en cualquier empresa o institución.
Aprile, Appendino, Gallo: La Difícil Tarea de la Seguridad Informática… 108 organismo como analista y programador de sistemas, pero siempre se había manifestado interesado en la seguridad informática por su tesis de graduación y algunos cursos e investigaciones que estaba realizando. Después de dos años de asumir la tarea, Juan se enfrentó con un serio problema: la seguridad de la información es un concepto nuevo en la empresa y por lo tanto observa que existe una “Falta de conciencia generalizada sobre la seguridad de los datos por parte de todos los usuarios”. 2. La inversión. La magnitud de los riesgos asociados en materia de seguridad informática involucra la inversión de nuevas tecnologías y de recursos humanos. Cada pedido de presupuesto a los niveles superiores debe argumentarse el doble que en las otras actividades. Sin embargo la inversión se aprobó inmediatamente luego que la página institucional fue hackeada, o aquella vez en que un virus paralizó a toda la organización bloqueando el acceso a los sistemas y al uso de los servicios. ¿Juan deberá esperar que suceda otro incidente de seguridad para que se aprueben nuevas inversiones? 3. ¿Qué es lo que debemos proteger? Existe abundante información en la empresa. Ante la consulta de Juan de qué información debe proteger, la respuesta de todos los gerentes es “Todo se debe proteger”. Juan pensó en su momento que sería lindo también que su casa estuviese protegida con policías de seguridad en todas las puertas, alarmas, sistemas de vigilancia, investigadores, etc. pero este costo es más elevado que su propia casa. Lo mismo sucede en cualquier organización, es imposible proteger absolutamente todo o proteger información que por su característica es pública. Por ello se debe definir cuáles son los activos a proteger, cómo clasificar la información, qué dato es público, qué información es privada o sensible, quienes deben/pueden acceder. ¿Quién tiene la responsabilidad de definir qué información es crítica y sensible y definir sus accesos?. ¿Quién es realmente el dueño de los datos?
Cuadernos de la Facultad n. 5, 2010 109 4. Uso de Internet. Se contrató para toda la organización el servicio de Internet, pero por cuestiones de seguridad se limitó el acceso solo a páginas autorizadas y libres de riesgos. A los dos días de implementar esta política, sufrió serios reclamos de los gerentes en el sentido de que se estaba limitando el uso a la información. ¿Debería permitir el uso libre de Internet?. ¿Bajo qué condiciones? 5. Software y licencia de uso. Después de realizar un análisis de toda la red, Juan detectó numerosos programas instalados vía Internet, mails o medios removibles en la mayoría de los equipos. Por ello se encargó de desinstalar todo y bloquear las futuras instalaciones por una cuestión de seguridad, compatibilidad con los sistemas de la organización y debido a que la mayoría de esos programas no contaban con las licencias legales de uso. Al día siguiente fue acusado con todos los términos posibles que se pueda imaginar por parte de los empleados y gerentes, ya que no podían escuchar música, los protectores de pantalla desaparecieron, no se podía instalar nada, no podían chatear con otros empleados, etc. , etc. . ¿Debería volver atrás con la desinstalación de los programas?. ¿Cómo debe hacer frente a todas las críticas? 6. Los dispositivos removibles La creciente proliferación de nuevos medios tecnológicos removibles (pendrive, mp3, mp4, memorias de cámaras digitales, etc.) conlleva el riesgo de que cualquier empleado introduzca o extraiga información o programas de/hacia las pcs. Esto tiene un riego adicional si en dichos dispositivos se ¿Debe permitirse el uso del Chat y del correo electrónico personal?
Aprile, Appendino, Gallo: La Difícil Tarea de la Seguridad Informática… 110 encuentran virus informáticos o cualquier programa no autorizado con contenido malicioso que puede causar daños e incompatibilidad en los equipos o los sistemas. Considerando esto, cada vez que bloqueó el acceso a los dispositivos de almacenamiento, tuvo serias quejas de los usuarios porque no podían intercambiar información con otras personas. ¿Debería permitir el uso de medios removibles? 7. Las claves de acceso. Se habilitó usuario y contraseñas para todas las personas para el acceso a los sistemas, pero algunas de ellas estaban muy molestas ya que tenían una tarea más de recordar esos datos y en algunos casos todos se prestaban o intercambiaban las contraseñas. ¿Cómo debería capacitar a los empleados en este aspecto?. ¿De quién es la responsabilidad de la confidencialidad de las claves? 8. Conflicto de intereses. Se han producido alteraciones del clima laboral con compañeros de trabajo en cuanto a la operatividad de los sistemas. Cada vez que se adiciona seguridad a las aplicaciones informáticas, se agrega una tarea más a los usuarios y los programadores indican que disminuye la perfomance de los sistemas. La seguridad y la operatividad de los sistemas a veces no se complementan, entonces ¿Quién debería definir ese equilibrio? Todas las políticas que trata de implementar Juan son consensuadas por la jefatura de sistemas. Aún así, no son bien recibidas por los altos niveles jerárquicos debido a que se imparten desde un área con menor jerarquía en la organización. Por ejemplo: un gerente general comentó que ningún empleado o subjefe le puede decir a él de que manera debe navegar en Internet o que programa debe instalar. Por otro lado, no es posible aplicar sanciones por incumplimiento a empleados de otros sectores que no sean del área de sistemas. Sirva esto como ejemplo, para mostrar que los recaudos técnicos que se puedan tomar, no son suficientes para proteger la información, y se requiere de un marco normativo que contenga y establezca las reglas de uso de la información mediante decisiones tomadas, debatidas, consensuadas y aprobadas por los altos niveles jerárquicos
Cuadernos de la Facultad n. 5, 2010 111 de la organización. ¿Qué organismo, área, unidad organizativa se debería crear? . ¿Qué nivel de jerarquía debería tener? 9. Hasta aquí el problema… ¿Cómo lo solucionamos? pues básicamente con políticas de seguridad que deben ser evaluadas y aprobadas en un organismo interno (Comité de Seguridad), conformado por adecuados niveles de decisión en la organización y que le otorgan al área de seguridad el presupuesto necesario para llevar a cabo la implantación de las políticas, controlar su seguimiento y evaluar acciones correctivas. El Comité de Seguridad debería fijar en estas Políticas los objetivos que tiendan a:  Concientizar sobre la seguridad de información. Esta concientización debe incluir un plan de capacitación extenso y profundo, acompañado de una campaña de difusión sobre la importancia de los sistemas informáticos en el negocio de la empresa  Generar una cultura informática en todos los usuarios dirigida a identificar los “activos intangibles” con el mismo valor que “activos tangibles”.  Definir responsabilidades de todos los usuarios pertenecientes a la organización.  Analizar, identificar y definir procedimientos y controles en todos los niveles que involucren riesgos a la seguridad de la información. 10. Conclusiones No se agota el tema con estas consideraciones, por el contrario, se abre un camino de análisis y preguntas que cada empresa o institución deberá andar por sí misma. Lo importante es comenzar a crear conciencia en los estamentos de decisión, acerca de la necesidad de formalizar acciones de contención y gestión de la información, que hagan que las tecnologías de la información y la comunicación cumplan con el rol fundamental que hoy tienen en la empresa: la alineación con el negocio. El Comité de Seguridad no es un equipo técnico- informático, debe ser un grupo de decisión interdisciplinario en el que tengan competencia todas las áreas de la empresa
Aprile, Appendino, Gallo: La Difícil Tarea de la Seguridad Informática… 112 Bibliografía Subsecretaría de Tecnologías de Gestión, Secretaría de la Gestión Pública, Año 2005, Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional. ONTI (Oficina Nacional de Tecnologías de la Información). International Organization for Standarization, Año 2000, Norma 17799– Código de práctica para la administración de la seguridad de la información. International Organization for Standarization, Año 2005, Norma 27001– Norma para la administración de la seguridad de la información. Consejo Profesional de Agrimensores, Ingenieros y Profesiones Afines – Universidad Católica de Salta – I-Sec Information Security Education Center, Año 2005, Apuntes “Jornadas de especialización en seguridad de la informacion – curso ISO 17799”. Maestría en Administración de Negocios, año 2006, Apuntes sobre Dirección de Recursos Humanos – Capítulos I, II, III, IV, V, VI - Prof. Edgardo Visñuk.

Recomendados

Seguridad presentación
Seguridad presentaciónSeguridad presentación
Seguridad presentación
Ana María Citlali Díaz Hernández
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionales
Pablo
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Jorge Skorey
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
romeprofe
 
Lore tic2
Lore tic2Lore tic2
Lore tic2
Dan Hunter
 
Guia de Seguridad en Informatica para PYMES
Guia de Seguridad en Informatica para PYMESGuia de Seguridad en Informatica para PYMES
Guia de Seguridad en Informatica para PYMES
Digetech.net
 
Seguridad de los sistemas de informacion
Seguridad de los sistemas de informacionSeguridad de los sistemas de informacion
Seguridad de los sistemas de informacion
Cristian Bailey
 
Seguridad de acceso remoto
Seguridad de acceso remotoSeguridad de acceso remoto
Seguridad de acceso remoto
GwenWake
 

Recomendados

Seguridad presentación
Seguridad presentaciónSeguridad presentación
Seguridad presentación
Ana María Citlali Díaz Hernández
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionales
Pablo
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Jorge Skorey
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
romeprofe
 
Lore tic2
Lore tic2Lore tic2
Lore tic2
Dan Hunter
 
Guia de Seguridad en Informatica para PYMES
Guia de Seguridad en Informatica para PYMESGuia de Seguridad en Informatica para PYMES
Guia de Seguridad en Informatica para PYMES
Digetech.net
 
Seguridad de los sistemas de informacion
Seguridad de los sistemas de informacionSeguridad de los sistemas de informacion
Seguridad de los sistemas de informacion
Cristian Bailey
 
Seguridad de acceso remoto
Seguridad de acceso remotoSeguridad de acceso remoto
Seguridad de acceso remoto
GwenWake
 
Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad Informatica
Fernando Alfonso Casas De la Torre
 
Caso sobre delito informático
Caso sobre delito informáticoCaso sobre delito informático
Caso sobre delito informático
Carlos Andres Perez Cabrales
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4
rayudi
 
Implementaciones de seguridad
Implementaciones de seguridadImplementaciones de seguridad
Implementaciones de seguridad
Edmundo Diego Bonini ஃ
 
Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.
GwenWake
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
Georgy Jose Sanchez
 
Ciberseguridad ensayo
Ciberseguridad ensayoCiberseguridad ensayo
Ciberseguridad ensayo
castilloilcia
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
Pablo Palacios
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Jack Daniel Cáceres Meza
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisica
IESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Articles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadArticles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridad
Monic Arguello
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacion
nyzapersa
 
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNSEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
YurlyMilenaJAIMESTOR1
 
3 2-indicadordedesempeo111111-120827075006-phpapp02
3 2-indicadordedesempeo111111-120827075006-phpapp023 2-indicadordedesempeo111111-120827075006-phpapp02
3 2-indicadordedesempeo111111-120827075006-phpapp02
paola ruiz roa
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
daylisyfran
 
Pericana jesus
Pericana jesusPericana jesus
Pericana jesus
jesuspericana3
 
Seguridad en los sistemas de información 1
Seguridad en los sistemas de información 1Seguridad en los sistemas de información 1
Seguridad en los sistemas de información 1
Mel Maldonado
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacion
Jean Carlos Leon Vega
 
Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011
Emilio Márquez Espino
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
Alejandro Quevedo
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
JunniorRecord
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgos
Jorge Pariasca
 

Más contenido relacionado

La actualidad más candente

Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad Informatica
Fernando Alfonso Casas De la Torre
 
Caso sobre delito informático
Caso sobre delito informáticoCaso sobre delito informático
Caso sobre delito informático
Carlos Andres Perez Cabrales
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4
rayudi
 
Implementaciones de seguridad
Implementaciones de seguridadImplementaciones de seguridad
Implementaciones de seguridad
Edmundo Diego Bonini ஃ
 
Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.
GwenWake
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
Georgy Jose Sanchez
 
Ciberseguridad ensayo
Ciberseguridad ensayoCiberseguridad ensayo
Ciberseguridad ensayo
castilloilcia
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
Pablo Palacios
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Jack Daniel Cáceres Meza
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisica
IESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Articles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadArticles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridad
Monic Arguello
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacion
nyzapersa
 
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNSEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
YurlyMilenaJAIMESTOR1
 
3 2-indicadordedesempeo111111-120827075006-phpapp02
3 2-indicadordedesempeo111111-120827075006-phpapp023 2-indicadordedesempeo111111-120827075006-phpapp02
3 2-indicadordedesempeo111111-120827075006-phpapp02
paola ruiz roa
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
daylisyfran
 
Pericana jesus
Pericana jesusPericana jesus
Pericana jesus
jesuspericana3
 
Seguridad en los sistemas de información 1
Seguridad en los sistemas de información 1Seguridad en los sistemas de información 1
Seguridad en los sistemas de información 1
Mel Maldonado
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacion
Jean Carlos Leon Vega
 
Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011
Emilio Márquez Espino
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
Alejandro Quevedo
 

La actualidad más candente (20)

Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad Informatica
 
Caso sobre delito informático
Caso sobre delito informáticoCaso sobre delito informático
Caso sobre delito informático
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4
 
Implementaciones de seguridad
Implementaciones de seguridadImplementaciones de seguridad
Implementaciones de seguridad
 
Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
 
Ciberseguridad ensayo
Ciberseguridad ensayoCiberseguridad ensayo
Ciberseguridad ensayo
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisica
 
Articles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadArticles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridad
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacion
 
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNSEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
 
3 2-indicadordedesempeo111111-120827075006-phpapp02
3 2-indicadordedesempeo111111-120827075006-phpapp023 2-indicadordedesempeo111111-120827075006-phpapp02
3 2-indicadordedesempeo111111-120827075006-phpapp02
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
 
Pericana jesus
Pericana jesusPericana jesus
Pericana jesus
 
Seguridad en los sistemas de información 1
Seguridad en los sistemas de información 1Seguridad en los sistemas de información 1
Seguridad en los sistemas de información 1
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacion
 
Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 

Similar a Seguridad

seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
JunniorRecord
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgos
Jorge Pariasca
 
Aspectos legales y éticos de la seguridad informática lectura 4
Aspectos legales y éticos de la seguridad informática lectura 4Aspectos legales y éticos de la seguridad informática lectura 4
Aspectos legales y éticos de la seguridad informática lectura 4
Sugey Rabadán
 
trabajokamita
trabajokamitatrabajokamita
trabajokamita
floreskamita
 
trabajokamita
trabajokamitatrabajokamita
trabajokamita
floreskamita
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
remyor09
 
10 mandamientos2.0
10 mandamientos2.010 mandamientos2.0
10 mandamientos2.0
Marco Antonio Perelli Henríquez
 
Manejo de sofware en el equipo de computo
Manejo de sofware en el equipo de computoManejo de sofware en el equipo de computo
Manejo de sofware en el equipo de computo
alejandroec
 
A3APSeguridad_soft_vision
A3APSeguridad_soft_visionA3APSeguridad_soft_vision
A3APSeguridad_soft_vision
UTZAC Unidad Académica de Pinos
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1
aleleo1
 
Gerencia trabajo
Gerencia trabajo Gerencia trabajo
Gerencia trabajo
hinryw
 
Aspectos legales y éticos de la seguridad informática.tic actividad 4
Aspectos legales y éticos de la seguridad informática.tic actividad 4Aspectos legales y éticos de la seguridad informática.tic actividad 4
Aspectos legales y éticos de la seguridad informática.tic actividad 4
lucero lizbeth garcia lugo
 
Tics 4
Tics 4Tics 4
Tics 4
paola pineda
 
Aspectos legales y éticos de la seguridad informática
Aspectos legales y éticos de la seguridad informáticaAspectos legales y éticos de la seguridad informática
Aspectos legales y éticos de la seguridad informática
Yoselyn Cruz
 
Plan seguridad
Plan seguridadPlan seguridad
Plan seguridad
nulls
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
rayudi
 
Caso sobre delito informático
Caso sobre delito informáticoCaso sobre delito informático
Caso sobre delito informático
Carlos Andrés Pérez Cabrales
 
Evaluación de riesgos
Evaluación de riesgosEvaluación de riesgos
Evaluación de riesgos
Doris Suquilanda
 
Client Side Exploration
Client Side ExplorationClient Side Exploration
Client Side Exploration
Eduardo Burgasí
 
Seguridad, riesgos y delitos informáticos
Seguridad, riesgos y delitos informáticosSeguridad, riesgos y delitos informáticos
Seguridad, riesgos y delitos informáticos
Javi Hurtado
 

Similar a Seguridad (20)

seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgos
 
Aspectos legales y éticos de la seguridad informática lectura 4
Aspectos legales y éticos de la seguridad informática lectura 4Aspectos legales y éticos de la seguridad informática lectura 4
Aspectos legales y éticos de la seguridad informática lectura 4
 
trabajokamita
trabajokamitatrabajokamita
trabajokamita
 
trabajokamita
trabajokamitatrabajokamita
trabajokamita
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
10 mandamientos2.0
10 mandamientos2.010 mandamientos2.0
10 mandamientos2.0
 
Manejo de sofware en el equipo de computo
Manejo de sofware en el equipo de computoManejo de sofware en el equipo de computo
Manejo de sofware en el equipo de computo
 
A3APSeguridad_soft_vision
A3APSeguridad_soft_visionA3APSeguridad_soft_vision
A3APSeguridad_soft_vision
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1
 
Gerencia trabajo
Gerencia trabajo Gerencia trabajo
Gerencia trabajo
 
Aspectos legales y éticos de la seguridad informática.tic actividad 4
Aspectos legales y éticos de la seguridad informática.tic actividad 4Aspectos legales y éticos de la seguridad informática.tic actividad 4
Aspectos legales y éticos de la seguridad informática.tic actividad 4
 
Tics 4
Tics 4Tics 4
Tics 4
 
Aspectos legales y éticos de la seguridad informática
Aspectos legales y éticos de la seguridad informáticaAspectos legales y éticos de la seguridad informática
Aspectos legales y éticos de la seguridad informática
 
Plan seguridad
Plan seguridadPlan seguridad
Plan seguridad
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
 
Caso sobre delito informático
Caso sobre delito informáticoCaso sobre delito informático
Caso sobre delito informático
 
Evaluación de riesgos
Evaluación de riesgosEvaluación de riesgos
Evaluación de riesgos
 
Client Side Exploration
Client Side ExplorationClient Side Exploration
Client Side Exploration
 
Seguridad, riesgos y delitos informáticos
Seguridad, riesgos y delitos informáticosSeguridad, riesgos y delitos informáticos
Seguridad, riesgos y delitos informáticos
 

Último

Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
AMADO SALVADOR
 
El uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptxEl uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptx
cecypozos703
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificial
YashiraPaye
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
larapalaciosmonzon28
 
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdfProjecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Festibity
 
mantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptxmantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptx
MiguelAtencio10
 
Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
larapalaciosmonzon28
 
Second Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro TapiaSecond Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro Tapia
al050121024
 
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
codesiret
 
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIAMONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
leia ereni
 
Modo test refrigeradores y codigos de errores 2018 V2.pdf
Modo test refrigeradores y codigos de errores 2018 V2.pdfModo test refrigeradores y codigos de errores 2018 V2.pdf
Modo test refrigeradores y codigos de errores 2018 V2.pdf
ranierglez
 
Manual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computoManual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computo
mantenimientocarbra6
 
computacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADOcomputacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADO
YaniEscobar2
 
Flows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos FeaturesFlows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos Features
Paola De la Torre
 
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdfPLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
70244530
 
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdfPresentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
giampierdiaz5
 
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Festibity
 
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
AbrahamCastillo42
 
Programming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdfProgramming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdf
Manuel Diaz
 
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
MiguelAtencio10
 

Último (20)

Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
 
El uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptxEl uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptx
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificial
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
 
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdfProjecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
 
mantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptxmantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptx
 
Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
 
Second Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro TapiaSecond Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro Tapia
 
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
 
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIAMONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
 
Modo test refrigeradores y codigos de errores 2018 V2.pdf
Modo test refrigeradores y codigos de errores 2018 V2.pdfModo test refrigeradores y codigos de errores 2018 V2.pdf
Modo test refrigeradores y codigos de errores 2018 V2.pdf
 
Manual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computoManual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computo
 
computacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADOcomputacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADO
 
Flows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos FeaturesFlows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos Features
 
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdfPLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
 
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdfPresentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
 
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
 
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
 
Programming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdfProgramming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdf
 
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
 

Seguridad

  • 1. Cuadernos de la Facultad n. 5, 2010 107 La difícil tarea de la seguridad informática. Análisis de un caso en una organización típica salteña. Fredi Aprile, Sergio Appendino, H. Beatriz P. de Gallo1 (faprile@copaipa.org.ar), (sappendino@copaipa.org.ar), (bgallo@copaipa.org.ar) Resumen Las tareas relacionadas con la seguridad informática en cualquier empresa parecen no ser tan simples. La historia que se presenta a continuación, refleja casos reales de acontecimientos surgidos en este ámbito y región, que genera una situación problemática, y de que manera la podemos afrontar. Palabras Claves: Seguridad - Seguridad informática - Información - Comité de seguridad. 1. La Historia. La información procesada, almacenada y consultada por los medios tecnológicos actuales es un recurso más de cualquier organización. En este contexto, la jefatura de una empresa ha confiado en una persona, el Lic. Juan Seguro, la responsabilidad de la seguridad informática. Antes de asumir esta tarea, él había ingresado al 1 Fredi Rene Aprile es Licenciado en Análisis de Sistemas. Analista Senior en el Poder Judicial de Salta en las áreas de seguridad informática, auditorias e informática forense. Es docente de la UCASAL. En el ámbito privado, se desempeña como consultor informático con especialización en la seguridad informática. Sergio Appendino es Ingeniero en Sistemas, CISA (Auditor Interno de Sistemas Certificado), Docente de UCASAL y Perito Informático en la Corte de Justicia Provincial y Federal de Salta. H. Beatriz P. de Gallo, es Ingeniera en Computación, Master en Administración de Negocios, docente e investigadora de la UCASAL. Es además perito informático de la Corte de Justicia de Salta. En el ámbito privado, se desempeña en la organización y gestión de proyectos de capacitación in company. La falta de conciencia en la seguridad de los datos es un problema presente en cualquier empresa o institución.
  • 2. Aprile, Appendino, Gallo: La Difícil Tarea de la Seguridad Informática… 108 organismo como analista y programador de sistemas, pero siempre se había manifestado interesado en la seguridad informática por su tesis de graduación y algunos cursos e investigaciones que estaba realizando. Después de dos años de asumir la tarea, Juan se enfrentó con un serio problema: la seguridad de la información es un concepto nuevo en la empresa y por lo tanto observa que existe una “Falta de conciencia generalizada sobre la seguridad de los datos por parte de todos los usuarios”. 2. La inversión. La magnitud de los riesgos asociados en materia de seguridad informática involucra la inversión de nuevas tecnologías y de recursos humanos. Cada pedido de presupuesto a los niveles superiores debe argumentarse el doble que en las otras actividades. Sin embargo la inversión se aprobó inmediatamente luego que la página institucional fue hackeada, o aquella vez en que un virus paralizó a toda la organización bloqueando el acceso a los sistemas y al uso de los servicios. ¿Juan deberá esperar que suceda otro incidente de seguridad para que se aprueben nuevas inversiones? 3. ¿Qué es lo que debemos proteger? Existe abundante información en la empresa. Ante la consulta de Juan de qué información debe proteger, la respuesta de todos los gerentes es “Todo se debe proteger”. Juan pensó en su momento que sería lindo también que su casa estuviese protegida con policías de seguridad en todas las puertas, alarmas, sistemas de vigilancia, investigadores, etc. pero este costo es más elevado que su propia casa. Lo mismo sucede en cualquier organización, es imposible proteger absolutamente todo o proteger información que por su característica es pública. Por ello se debe definir cuáles son los activos a proteger, cómo clasificar la información, qué dato es público, qué información es privada o sensible, quienes deben/pueden acceder. ¿Quién tiene la responsabilidad de definir qué información es crítica y sensible y definir sus accesos?. ¿Quién es realmente el dueño de los datos?
  • 3. Cuadernos de la Facultad n. 5, 2010 109 4. Uso de Internet. Se contrató para toda la organización el servicio de Internet, pero por cuestiones de seguridad se limitó el acceso solo a páginas autorizadas y libres de riesgos. A los dos días de implementar esta política, sufrió serios reclamos de los gerentes en el sentido de que se estaba limitando el uso a la información. ¿Debería permitir el uso libre de Internet?. ¿Bajo qué condiciones? 5. Software y licencia de uso. Después de realizar un análisis de toda la red, Juan detectó numerosos programas instalados vía Internet, mails o medios removibles en la mayoría de los equipos. Por ello se encargó de desinstalar todo y bloquear las futuras instalaciones por una cuestión de seguridad, compatibilidad con los sistemas de la organización y debido a que la mayoría de esos programas no contaban con las licencias legales de uso. Al día siguiente fue acusado con todos los términos posibles que se pueda imaginar por parte de los empleados y gerentes, ya que no podían escuchar música, los protectores de pantalla desaparecieron, no se podía instalar nada, no podían chatear con otros empleados, etc. , etc. . ¿Debería volver atrás con la desinstalación de los programas?. ¿Cómo debe hacer frente a todas las críticas? 6. Los dispositivos removibles La creciente proliferación de nuevos medios tecnológicos removibles (pendrive, mp3, mp4, memorias de cámaras digitales, etc.) conlleva el riesgo de que cualquier empleado introduzca o extraiga información o programas de/hacia las pcs. Esto tiene un riego adicional si en dichos dispositivos se ¿Debe permitirse el uso del Chat y del correo electrónico personal?
  • 4. Aprile, Appendino, Gallo: La Difícil Tarea de la Seguridad Informática… 110 encuentran virus informáticos o cualquier programa no autorizado con contenido malicioso que puede causar daños e incompatibilidad en los equipos o los sistemas. Considerando esto, cada vez que bloqueó el acceso a los dispositivos de almacenamiento, tuvo serias quejas de los usuarios porque no podían intercambiar información con otras personas. ¿Debería permitir el uso de medios removibles? 7. Las claves de acceso. Se habilitó usuario y contraseñas para todas las personas para el acceso a los sistemas, pero algunas de ellas estaban muy molestas ya que tenían una tarea más de recordar esos datos y en algunos casos todos se prestaban o intercambiaban las contraseñas. ¿Cómo debería capacitar a los empleados en este aspecto?. ¿De quién es la responsabilidad de la confidencialidad de las claves? 8. Conflicto de intereses. Se han producido alteraciones del clima laboral con compañeros de trabajo en cuanto a la operatividad de los sistemas. Cada vez que se adiciona seguridad a las aplicaciones informáticas, se agrega una tarea más a los usuarios y los programadores indican que disminuye la perfomance de los sistemas. La seguridad y la operatividad de los sistemas a veces no se complementan, entonces ¿Quién debería definir ese equilibrio? Todas las políticas que trata de implementar Juan son consensuadas por la jefatura de sistemas. Aún así, no son bien recibidas por los altos niveles jerárquicos debido a que se imparten desde un área con menor jerarquía en la organización. Por ejemplo: un gerente general comentó que ningún empleado o subjefe le puede decir a él de que manera debe navegar en Internet o que programa debe instalar. Por otro lado, no es posible aplicar sanciones por incumplimiento a empleados de otros sectores que no sean del área de sistemas. Sirva esto como ejemplo, para mostrar que los recaudos técnicos que se puedan tomar, no son suficientes para proteger la información, y se requiere de un marco normativo que contenga y establezca las reglas de uso de la información mediante decisiones tomadas, debatidas, consensuadas y aprobadas por los altos niveles jerárquicos
  • 5. Cuadernos de la Facultad n. 5, 2010 111 de la organización. ¿Qué organismo, área, unidad organizativa se debería crear? . ¿Qué nivel de jerarquía debería tener? 9. Hasta aquí el problema… ¿Cómo lo solucionamos? pues básicamente con políticas de seguridad que deben ser evaluadas y aprobadas en un organismo interno (Comité de Seguridad), conformado por adecuados niveles de decisión en la organización y que le otorgan al área de seguridad el presupuesto necesario para llevar a cabo la implantación de las políticas, controlar su seguimiento y evaluar acciones correctivas. El Comité de Seguridad debería fijar en estas Políticas los objetivos que tiendan a:  Concientizar sobre la seguridad de información. Esta concientización debe incluir un plan de capacitación extenso y profundo, acompañado de una campaña de difusión sobre la importancia de los sistemas informáticos en el negocio de la empresa  Generar una cultura informática en todos los usuarios dirigida a identificar los “activos intangibles” con el mismo valor que “activos tangibles”.  Definir responsabilidades de todos los usuarios pertenecientes a la organización.  Analizar, identificar y definir procedimientos y controles en todos los niveles que involucren riesgos a la seguridad de la información. 10. Conclusiones No se agota el tema con estas consideraciones, por el contrario, se abre un camino de análisis y preguntas que cada empresa o institución deberá andar por sí misma. Lo importante es comenzar a crear conciencia en los estamentos de decisión, acerca de la necesidad de formalizar acciones de contención y gestión de la información, que hagan que las tecnologías de la información y la comunicación cumplan con el rol fundamental que hoy tienen en la empresa: la alineación con el negocio. El Comité de Seguridad no es un equipo técnico- informático, debe ser un grupo de decisión interdisciplinario en el que tengan competencia todas las áreas de la empresa
  • 6. Aprile, Appendino, Gallo: La Difícil Tarea de la Seguridad Informática… 112 Bibliografía Subsecretaría de Tecnologías de Gestión, Secretaría de la Gestión Pública, Año 2005, Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional. ONTI (Oficina Nacional de Tecnologías de la Información). International Organization for Standarization, Año 2000, Norma 17799– Código de práctica para la administración de la seguridad de la información. International Organization for Standarization, Año 2005, Norma 27001– Norma para la administración de la seguridad de la información. Consejo Profesional de Agrimensores, Ingenieros y Profesiones Afines – Universidad Católica de Salta – I-Sec Information Security Education Center, Año 2005, Apuntes “Jornadas de especialización en seguridad de la informacion – curso ISO 17799”. Maestría en Administración de Negocios, año 2006, Apuntes sobre Dirección de Recursos Humanos – Capítulos I, II, III, IV, V, VI - Prof. Edgardo Visñuk.